Elaborăm o obligație de nedezvăluire a datelor cu caracter personal. Cum se întocmește o declarație privind protecția datelor cu caracter personal

Începând cu 1 iulie 2017, modificările la art. 13.11 Codul de infracțiuni administrative al Federației Ruse privind răspunderea administrativă pentru încălcarea legislației privind datele personale ale persoanelor fizice. Deoarece modificările afectează pe toți cei care utilizează date personale, vom lua în considerare aceste inovații în articolul nostru.

Prelucrarea datelor cu caracter personal – 2017

Datele cu caracter personal sunt orice informații legate direct sau indirect de o anumită persoană (nume, adresă de domiciliu, data nașterii, detalii pașaport, număr de telefon, fotografie, adresă). e-mail, etc.). O organizație, agenție guvernamentală sau persoană care colectează și prelucrează date cu caracter personal se numește operator (Legea cu privire la datele cu caracter personal din 27 iulie 2006 nr. 152-FZ). Acestea includ angajatorii, precum și toți cei care primesc date personale de la cetățeni - instituții medicale, institutii de invatamant, magazine online etc.

Pentru angajator, astfel de date sunt necesare în legătură cu relațiile de muncă. Acestea pot fi primite doar personal de la angajatul însuși și de la terți - cu acordul scris al acestuia. Individul dă acordul scris pentru prelucrarea datelor cu caracter personal. Formularul nu este aprobat prin lege îl puteți întocmi singur, ținând cont de cerințele alin. 4 al art. 9 din Legea nr. 152-FZ (clauza 3, partea 1, articolul 86 din Codul muncii al Federației Ruse, clauza 1, articolul 9 din Legea 152-FZ).

Consimțământ pentru prelucrarea datelor cu caracter personal (eșantion)

Este inacceptabilă colectarea și prelucrarea datelor cu caracter personal ale unui angajat care nu au legătură cu ale acestuia activitatea muncii, de exemplu, despre participarea la asociaţiile obşteşti, religie, viață personală etc. Același lucru este valabil și pentru alți operatori care solicită date care nu au legătură cu scopul prelucrării lor (de exemplu, indicarea datelor pașaportului într-un chestionar despre evaluarea performanței site-ului). Datele primite nu trebuie dezvăluite către terți sau distribuite fără acordul persoanei (articolul 7 din Legea nr. 152-FZ).

Operatorul este obligat să asigure o protecție adecvată a datelor, pentru care stabilește procedura de primire, prelucrare și stocare a acestora în Reglementările privind Datele cu Caracter Personal sau alte reglementări interne. Documentul defineste masurile necesare, și este desemnată o persoană responsabilă cu prelucrarea. Accesul la astfel de date ar trebui permis numai persoanelor autorizate, iar acestea au dreptul de a primi doar informațiile necesare pentru a efectua functii specifice(Articolul 88 din Codul Muncii al Federației Ruse, articolul 18.1 din Legea nr. 152-FZ).

Reglementările privind datele cu caracter personal sau alt document privind politica de prelucrare a acestora sunt în domeniul public și sunt prezentate la cererea organismelor abilitate - aceasta se aplică atât angajatorilor, cât și altor operatori (părțile 2 și 4 ale art. 18.1 din Legea nr. 152). -FZ).

Date personale – 2017: nou în responsabilitatea administrativă

A fost adoptată Legea nr.13-FZ din 02.07.2017 noua editie Articolul 13.11 din Codul de infracțiuni administrative al Federației Ruse. Dacă anterior articolul conținea un singur element - încălcarea Legii federale privind datele cu caracter personal, acum este o listă întreagă de șapte motive de răspundere administrativă și, în consecință, diverse amenzi. Este probabil ca în cazul în care vor fi depistate mai multe încălcări de către un operator, acesta să se confrunte cu mai multe amenzi, nu doar una.

De asemenea, articolele 28.3 și 28.4 din Codul contravențiilor administrative al Federației Ruse au suferit modificări, simplificând procesul de aducere a operatorilor în fața justiției: din 07.01.2017 sunt întocmite protocoale privind încălcările Legii 152-FZ privind datele cu caracter personal. de către angajații Roskomnadzor, și nu de către procuror, ca până acum. Perioada de aducere în fața justiției a rămas aceeași - 3 luni.

Cu ce ​​sunt amendați acum?

Așadar, iată motivele pentru care antreprenorii și organizațiile care prelucrează date cu caracter personal pot fi acum trase la răspundere administrativă:

  • Datele sunt prelucrate în cazuri neprevăzute de Legea federală cu privire la datele cu caracter personal sau prelucrarea lor este incompatibilă cu scopurile colectării (Partea 1 a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse). Utilizare ilegală datele personale, dacă nu implică răspundere penală, amenință cu un avertisment sau o amendă: pentru persoane fizice în valoare de 1.000-3.000 de ruble, pentru funcționari - 5.000-10.000 de ruble, pentru organizații - 30.000-50.000 de ruble.
  • Prelucrarea datelor fără consimțământul scris cerut de lege (clauza 2 a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse). Consimțământul pentru prelucrare trebuie să conțină informațiile specificate în Partea 4 a art. 9 din Legea 152-FZ privind datele cu caracter personal. Modificările din 2017 prevăd o amendă pentru absența acesteia de la 1 iulie în următoarea sumă: pentru contravenții persoanelor fizice - 3000-5000 de ruble, pentru oficiali– 10.000-20.000 de ruble, pentru organizații – 15.000-75.000 de ruble.
  • Lipsa accesului nelimitat la politica operatorului în domeniul prelucrării datelor cu caracter personal (clauza 3 a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse). Obligația de a asigura accesul este stabilită în clauza 2 a art. 18.1 din Legea 152-FZ privind datele cu caracter personal. Incapacitatea de a vă familiariza cu un astfel de document pe hârtie sau pe un site web, dacă datele sunt colectate prin internet, va costa operatorii: 700-1500 de ruble. - persoane fizice, 3000-6000 de ruble. – oficiali, 5.000-10.000 de ruble. – Antreprenor individual, 15.000-30.000 de ruble. – organizații, iar în cel mai bun scenariu Totul se va face cu un avertisment.
  • Nefurnizarea unei persoane cu informații cu privire la prelucrarea datelor sale personale (clauza 4 a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse). Procedura de solicitare a acestor informații este prevăzută la articolul 14 din Legea 152-FZ. Modificările de la 07.01.2017 sunt următoarele: încălcarea este supusă unui avertisment sau unei amenzi de 1000-2000 de ruble. – persoane fizice, 4000-6000 de ruble. - oficiali, 10.000-15.000 de ruble. – Antreprenor individual, 20.000-40.000 rub. – organizații.
  • Nerespectarea termenele stabilite cerințe pentru blocarea, modificarea sau distrugerea datelor cu caracter personal (clauza 5 a articolului 13.11 din Codul contravențiilor administrative al Federației Ruse). O persoană fizică sau reprezentantul său poate face astfel de solicitări dacă datele sunt incomplete, inexacte, obținute cu încălcarea legii sau sunt depășite, acest lucru este stabilit de articolul 21 din Legea cu privire la datele cu caracter personal nr. 152-FZ. Încălcatorii vor primi un avertisment sau o amendă: 1000-2000 de ruble. pentru persoane fizice, 4.000-10.000 de ruble. oficiali, 10.000-20.000 de ruble. – Antreprenor individual, 25.000-45.000 de ruble. organizatii.
  • Nerespectarea condițiilor care asigură siguranța datelor cu caracter personal în timpul prelucrării neautomatizate (clauza 6, articolul 13.11 din Codul contravențiilor administrative al Federației Ruse). Acest lucru se aplică datelor „de hârtie”, accesul neautorizat la care a cauzat distrugerea, deteriorarea, distribuirea ilegală etc. Neasigurarea protecției datelor cu caracter personal în 2017 atrage o amendă de 700-2000 de ruble. pentru cetățeni, 4.000-10.000 de ruble. pentru funcționari, 10.000-20.000 de ruble. pentru antreprenori individuali și 25.000-50.000 de ruble. pentru organizații.

Acestea sunt modificările privind protecția datelor cu caracter personal din 2017, în vigoare de la 1 iulie. După cum vedem, infracțiunile au devenit mai specifice, iar amenzile pentru operatori au devenit vizibil mai dure.

Datele personale sunt diferite tipuri de informații care se referă la un anumit unui individ(Clauza 1, articolul 3 din Legea federală din 27 iulie 2006 nr. 152-FZ). Ca orice altă informație, datele cu caracter personal sunt prelucrate, adică sunt colectate, sistematizate, acumulate, stocate, transferate, distruse etc. Pentru a se asigura că prelucrarea datelor cu caracter personal nu încalcă drepturile și libertățile cetățenilor, inclusiv. dreptul la intimitate, personal si secret de familie, este necesară o protecție adecvată a datelor cu caracter personal. Acest subiect este relevant pentru toți angajatorii, deoarece aceștia, de fapt, prelucrează în mod constant anumite date personale ale angajaților lor. Aceasta include, de exemplu, detaliile pașaportului angajatului sau adresa sa de reședință, informații despre educația sau experiența angajatului, informații despre salariile sau starea civilă angajat etc. Importanța acestui domeniu este confirmată de faptul că în Codul Muncii al Federației Ruse un capitol separat este dedicat protecției datelor cu caracter personal ale angajaților - Cap. 14 „Protecția datelor cu caracter personal ale angajaților”. Vă vom spune despre protecția datelor cu caracter personal în organizații în consultarea noastră și vă vom oferi un eșantion din Regulamentul privind protecția datelor cu caracter personal ale angajaților 2017.

Politica de prelucrare si protectie a datelor cu caracter personal ale angajatilor

Cerințe generale la prelucrarea datelor cu caracter personal ale angajaților, precum și problemele de protecție a datelor cu caracter personal în întreprindere sunt cuprinse în art. 86 Codul Muncii al Federației Ruse.

Astfel, Codul Muncii al Federației Ruse stabilește, în special, următoarele aspecte ale prelucrării și protecției datelor cu caracter personal:

  • prelucrarea datelor cu caracter personal ale angajaților se efectuează numai în scopul respectării legislației Federației Ruse, asistenței angajaților în găsirea unui loc de muncă, obținerea de educație și avansare în carieră, asigurarea securității personale a angajaților, monitorizarea cantității și calității muncii prestate. și asigurarea siguranței proprietății;
  • Toate datele personale ale angajatului trebuie obținute de la acesta. Dacă orice date cu caracter personal ale unui angajat pot fi obținute numai de la un terț, angajatul trebuie să fie înștiințat în prealabil și trebuie obținut consimțământul scris de la acesta;
  • angajatorul trebuie să asigure, pe cheltuiala sa, protecția datelor cu caracter personal ale angajatului împotriva utilizării sau pierderii ilegale;
  • Angajatorul trebuie, împotriva semnăturii, să familiarizeze angajații și reprezentanții acestora cu procedura de prelucrare a datelor cu caracter personal ale angajaților, precum și cu drepturile și obligațiile acestora în acest domeniu.

În același timp, cerințele privind protecția datelor cu caracter personal ale angajaților nu pot fi luate în considerare izolat de aspectele legate de transferul datelor cu caracter personal. Astfel, atunci când transferă datele personale ale unui angajat, angajatorul este obligat să respecte anumite cerințe.

Acestea, în special, includ (Articolul 88 din Codul Muncii al Federației Ruse):

  • ca regulă generală, nu dezvăluiți datele personale ale angajatului unei terțe părți fără acordul scris al angajatului;
  • avertizați persoanele care primesc datele personale ale angajatului că aceste date pot fi utilizate numai în scopurile pentru care au fost comunicate;
  • transfera datele personale ale unui angajat în cadrul unei organizații în conformitate cu reglementările locale, cu care angajatul trebuie să fie familiarizat cu semnătura;
  • permite accesul la datele personale ale angajaților numai persoanelor special autorizate;
  • nu solicitați informații despre starea de sănătate a angajatului (cu excepția cazurilor legate de verificarea capacității angajatului de a îndeplini o funcție de serviciu).

În același timp, consimțământul angajatului pentru transferul datelor cu caracter personal nu este întotdeauna necesar. Astfel, consimțământul nu este necesar atunci când transferul de date cu caracter personal este necesar pentru a preveni amenințarea vieții și sănătății unui angajat (paragraful 2 al articolului 88 din Codul Muncii al Federației Ruse) sau este necesar pe baza altor legi (aceasta include, de exemplu, informații către Fondul de pensii al Federației Ruse, Fondul de asigurări sociale, autoritățile fiscale etc.).

Responsabilitatea pentru încălcarea cerințelor privind protecția datelor cu caracter personal

Responsabilitatea pentru încălcarea cerințelor de prelucrare și protecție a datelor cu caracter personal ale angajaților este variată. Se referă atât la angajați, cât și la angajator însuși.

De exemplu, un angajat poate fi concediat pentru că a dezvăluit informații care i-au devenit cunoscute în timpul îndeplinirii sarcinilor sale. responsabilități de muncă datele personale ale altui angajat. La urma urmei, va fi luat în considerare încălcare gravă angajatul îndatoririlor sale de muncă (clauza „c” a paragrafului 6 al articolului 81 din Codul Muncii al Federației Ruse).

Și, de exemplu, prelucrarea datelor cu caracter personal în cazurile care nu sunt prevăzute de legislația Federației Ruse poate atrage o amendă pentru funcționari de la 5.000 la 10.000 de ruble, iar pentru organizația angajatoare - de la 30.000 de ruble la 50.000 de ruble (Partea 1 a Articolul 13.11 Codul contravențiilor administrative al Federației Ruse).

Vă rugăm să rețineți că amenzile au crescut semnificativ de la 1 iulie 2017. Dacă anterior amenda maximă pentru o organizație pentru încălcarea procedurii de colectare, stocare, utilizare sau distribuire a datelor cu caracter personal era de 10.000 de ruble, atunci de la 1 iulie 2017 a crescut la 75.000 de ruble.

Regulamentul privind protecția datelor cu caracter personal 2017: Exemplu

Având în vedere că angajații au dreptul să informatii complete despre datele lor personale și despre prelucrarea acestor date, angajatorul este obligat să-i familiarizeze cu documentele relevante (paragraful 2 al articolului 89 din Codul Muncii al Federației Ruse). În aceste scopuri, poate fi elaborat un Regulament privind Protecția Datelor cu Caracter Personal, cu care angajatorul este obligat să-i familiarizeze pe toți angajații nou angajați.

Iată Reglementările privind prelucrarea și protecția datelor cu caracter personal, postate în sistemul legal de referință ConsultantPlus.

Atunci când desfășoară activități, întreprinderile sau antreprenorii individuali care acționează în calitate de angajatori sau lucrează cu contrapărți - persoane fizice, trebuie să se ocupe de datele lor personale, care, în condițiile legii, sunt supuse protecției. Toate lucrările cu aceste informații trebuie reglementate în acest scop, întreprinderea creează un regulament privind datele personale ale angajaților.

Datele personale sunt informații despre angajați cu care compania trebuie să se ocupe în fiecare zi, din momentul în care sunt angajați și până când sunt concediați.

Persoanele responsabile din întreprindere nu numai că le colectează și le stochează, ci și le prelucrează și le dezvăluie periodic unor terți. Acest lucru este adesea cerut de activitatea desfășurată, de exemplu, plata salariilor în conturile de card bancar.

Pe de altă parte, prevederile existente ale actelor legislative obligă întreprinderea să stocheze și să prevină dezvăluirea unor astfel de informații.

Pentru a respecta pe deplin prevederile legii, dar și pentru a continua să-și desfășoare activitățile, întreprinderea trebuie să elaboreze un Regulament privind Datele cu Caracter Personal, în care standardele actuale să fie implementate ținând cont de activitatea organizației.

Elaborarea acestui Regulament este necesară pentru orice entitate comercială care angajează lucrători și, ca urmare, se ocupă de datele lor personale.

Acest act de reglementare local este elaborat și aprobat în același mod ca toate celelalte reglementări interne ale întreprinderii. Persoana responsabilă pentru dezvoltarea acestuia poate fi șeful departamentului de personal sau un alt funcționar ale cărui responsabilități includ lucrul cu aceste informații.

Proiectul de document este convenit cu diverși specialiști ai organizației, sindicatului și apoi pus în aplicare prin ordin al directorului. Odată cu intrarea în vigoare a Regulamentului privind datele cu caracter personal, toți angajații trebuie să fie familiarizați cu acestea împotriva semnării.

Puteți înregistra familiarizarea angajaților cu acest document local într-un jurnal special de înregistrare sau completând altele separate.

Atenţie! Legislația stabilește că Regulamentul trebuie să includă. Acesta trebuie să fie solicitat de la o persoană care lucrează la întreprindere de fiecare dată când informații sunt dezvăluite unor terți, de exemplu, la întocmirea unei împuterniciri, certificate etc.

Mai mult, angajatul poate revoca oricând acest consimțământ prin depunerea unei cereri corespunzătoare adresată angajatorului său.

Ce date ale angajaților sunt personale?

Legislația stabilește ce este inclus în datele personale ale unei persoane. Acestea pot fi fie informații legate direct de angajat, fie care îl afectează indirect.

Aceasta include:

  • Datele personale complete ale angajatului (numele complet).
  • Informații despre locul și data nașterii sale.
  • Adresa este reală și înregistrată.
  • Starea socială, familială, de proprietate.
  • Educația și profesia actuală a angajatului.
  • Informații despre veniturile angajatului etc.

Pe lângă legea privind datele cu caracter personal, compoziția informațiilor personale este, de asemenea, determinată de Codul Muncii al Federației Ruse. Include în informațiile protejate informații care vă permit să identificați o persoană ca angajat. Acestea sunt calificările, specializarea, educația, starea sănătății umane (în unele situații, de exemplu, când se lucrează în condiții dăunătoare), prezența copiilor.

Lista de informații care pot fi clasificate ca date personale ale unui angajat nu este închisă, prin urmare fiecare entitate care desfășoară afaceri are dreptul să o extindă, iar aceste categorii trebuie înregistrate în Regulamentul întreprinderii.

Atenţie! Există informații despre angajat care nu ar trebui să fie niciodată solicitate de către administrația companiei, deoarece sunt pur personale. Aceasta include, de exemplu, religia și naționalitatea. Dacă cineva încearcă să afle astfel de informații, va fi privită ca o încercare de invadare viata personala angajat.

Descărcați un exemplu de declarație privind protecția datelor angajaților pentru 2018

Ce ar trebui să conțină o prevedere privind protecția datelor cu caracter personal?

Legea nu stabilește ce informații și secțiuni trebuie incluse în document. De asemenea, criteriile după care trebuie făcută înregistrarea nu sunt specificate nicăieri. Prin urmare, în procesul de pregătire a acestui document la întreprindere, este necesar să se ia în considerare cerințele Legii federale privind datele cu caracter personal, precum și principii generaleînregistrarea regulamentelor interne.

Prevederi generale

Această secțiune ar trebui să conțină scopurile întocmirii documentului, să aibă legături către legi și alte reglementări privind lucrul cu datele personale. De asemenea, aici trebuie să descrieți procesul de punere în aplicare a prevederii și cum vor fi aduse modificările exacte.

Lista datelor personale ale angajaților

Aceasta este una dintre cele mai importante secțiuni din regulament, deoarece este cea care va determina ce informații se încadrează în conceptul de personal. Cel mai bine este să compuneți această secțiune numai după ce toate informațiile au fost primite de la angajați. documentele necesareși le-a analizat pentru informațiile pe care le conțin. Aici puteți descrie și documente interne care pot conține date cu caracter personal și care ar trebui, de asemenea, protejate.

Operațiuni cu date personale

În această secțiune, trebuie să descrieți ce departamente sau anumite persoane beneficiază de dreptul de a lucra cu date personale. Tot aici trebuie să indicați în mod specific suportul pe care pot fi stocate datele (de exemplu, sub formă de imprimări pe hârtie, în formular electronicîn baza de date etc.)

Accesul la datele personale

Această secțiune ar trebui să descrie modul în care datele personale deținute de companie pot fi utilizate de către alți angajați care nu au autoritatea în acest sens. De asemenea, în această secțiune este necesar să discutăm procedura de furnizare a informațiilor disponibile altor organizații, agenții guvernamentale și altor persoane.

Responsabilitățile angajaților cu acces la datele personale

În această secțiune, trebuie să descrieți exact ce acțiuni trebuie să efectueze angajații care au acces la datele personale ale angajaților companiei.

Drepturile angajaților cu privire la tranzacțiile cu date personale

Acesta descrie drepturile angajaților care au furnizat companiei informațiile lor personale și ale celor care au acces la astfel de informații în îndeplinirea atribuțiilor lor.

Protecția datelor cu caracter personal

Această secțiune descrie exact unde și cum stochează compania datele personale primite. Este necesar să se indice în detaliu ce măsuri sunt utilizate pentru protejarea datelor pe hârtie (de exemplu, dulapuri de arhivă care sunt încuiate cu cheie, încuietoare cu acces codificat pe ușa camerei de arhivă etc.). De asemenea, trebuie să descrieți unde sunt stocate datele electronice și cum sunt protejate.

Procedura de aprobare a reglementarilor privind datele personale ale angajatilor

Procedura de dezvoltare și adoptare această prevedere exact la fel ca orice alt act intern al întreprinderii.

Dacă în companie s-a format un sindicat, atunci adoptarea regulamentului ar trebui făcută numai după acordul acestuia cu acest organism.

Proiectul de document trebuie depus la sindicat, care are la dispoziție cinci zile pentru a-l revizui. După această perioadă, organismul trebuie în scris prezentați-vă părerea despre asta.

Avizul organului poate exprima dezacordul cu documentul prezentat. În această situație, odată cu exprimarea opiniei, sunt oferite propuneri de schimbare a situației. Administrația trebuie fie să accepte modificările propuse, fie să poarte discuții suplimentare cu autoritatea în termen de trei zile.

Dacă nici după aceasta nu s-a ajuns la un acord, atunci ambele părți întocmesc și semnează un protocol de dezacord. După acest pas, administrația are dreptul de a accepta documentul așa cum este propus. Dar trebuie să ne amintim că atunci când apare un sindicat situație controversată poate contesta adoptarea prevederii în instanță sau prin inspectoratul de muncă.

Dacă în organizație nu s-a format un organism sindical, dar există un altul care reprezintă interesele lucrătorilor, atunci postul trebuie să fie coordonat cu acesta.

În cazul în care nu există deloc sindicat, atunci administrația pune în vigoare Regulamentul privind datele cu caracter personal în mod independent, adoptând ordinul necesar. În acest ordin este necesar să se indice data de la care actul normativ intră în vigoare, să se identifice persoanele responsabile cu respectarea acestuia și să se anuleze actul normativ anterior (dacă se adoptă o nouă reglementare care să îl înlocuiască pe cea veche).

bukhproffi

Important! Dacă comanda nu indică data de începere, atunci prevederea devine efectivă de la data semnării comenzii.

Responsabilitatea pentru dezvăluirea datelor cu caracter personal

La 1 iulie 2017, au intrat în vigoare modificările aduse legilor și Codului contravențiilor administrative care se referă la lucrul cu datele cu caracter personal. Printre acestea a fost o creștere semnificativă a amenzilor pentru încălcări în prelucrarea și stocarea informațiilor despre persoane.

Legea datelor cu caracter personal, in vigoare la 1 iulie 2017, prevede urmatoarele amenzi:

  • Astfel, dacă datele cu caracter personal sunt colectate în cazuri neprevăzute de lege, sau prelucrarea este efectuată în mod incompatibil cu scopurile prevăzute de lege, aceasta se pedepsește cu avertisment sau amendă pentru cetățenii de rând în valoare de 1-3 mii de ruble. , pentru funcționari - 5-10 mii rub., pentru întreprinderi - 30-50 mii ruble.
  • Dacă subiectul care a primit date cu caracter personal nu are consimțământul pentru prelucrarea datelor cu caracter personal de la proprietarul său, deși trebuie să fie obținut, aceasta implică o amendă pentru cetățeni în valoare de 3-5 mii de ruble, pentru funcționari - 10-20 mii. ruble , pentru organizații - 15-75 mii de ruble.
  • Modificările au introdus și răspunderea pentru faptul că operatorul nu a publicat în domeniul public un document care descrie politica sa de primire, prelucrare și stocare a datelor cu caracter personal. Această acțiune implică o amendă pentru cetățeni de la 700 la 5 mii de ruble, pentru funcționari - 3-6 mii de ruble, pentru un antreprenor - 5-10 mii de ruble, pentru o organizație - 15-30 mii de ruble.
  • Dacă operatorul de date nu furnizează proprietarului informații despre modul în care sunt prelucrate datele sale, aceasta va presupune impunerea unui avertisment sau a unei amenzi în valoare de 1-2 mii de ruble cetățenilor, 4-6 mii de ruble funcționarilor, 10 mii de ruble pentru antreprenori - 15 mii de ruble, pentru o companie - 25-40 mii de ruble.

Reglementările privind datele personale ale angajaților sunt interne act local organizație, a cărei prezență se află în centrul inspecțiilor efectuate de Roskomnadzor. Prin urmare, multe companii sunt nedumerite de întrebarea cum să elaboreze un regulament privind protecția datelor cu caracter personal (2019), dacă nu aveau anterior un astfel de document. În acest articol vă vom spune ce să căutați atenție deosebită pe parcursul desfăşurării acestuia pentru a preveni încălcările legii.

Dacă încalc legea

Angajatorii au început să primească în masă scrisori de la Roskomnadzor prin care se avertizează că în timpul unei inspecții la companie ar putea primi amenzi grave pentru încălcarea prevederilor Legii nr. 152-FZ din 27 iulie 2006 (denumită în continuare Legea). Potrivit acesteia, angajatorul este obligat să garanteze protecția acestor informații împotriva accesului și utilizării ilegale de către terți. Regulamentul privind lucrul cu datele personale ale angajaților ajută la rezolvarea acestor probleme.

La 23 februarie 2019 a intrat în vigoare Hotărârea Guvernului nr. 146 din 13 februarie 2019 prin care s-a aprobat Regulile de organizare și implementare a controlului și supravegherii de stat asupra prelucrării datelor cu caracter personal. Potrivit documentului, inspecțiile programate vor fi efectuate la fiecare 2-3 ani, iar lista companiilor supuse controlului poate fi văzută în prealabil pe site-ul Roskomnadzor. Ca și în cazul altor tipuri de control, inspectorii vor trebui să avertizeze asupra vizitei planificate. Dacă inspecția este programată, atunci trebuie să anunțați despre aceasta cu 3 zile lucrătoare înainte, iar dacă este neprogramată - cu 24 de ore înainte.

Pentru încălcarea Legii se prevede răspunderea disciplinară, materială, administrativă și penală. Autoritățile de supraveghere pot atrage răspunderea administrativă în temeiul art. 13.11 și 13.14 Codul contravențiilor administrative, amenzile sunt:

  • pentru funcționari: de la 500 la 1000 de ruble;
  • pentru o organizație: de la 5.000 la 10.000 de ruble;
  • pentru funcționari în legătură cu îndeplinirea sarcinilor oficiale sau profesionale: de la 4.000 la 5.000 de ruble.

Cele mai frecvente încălcări, potrivit inspectorilor, sunt prelucrarea datelor cu caracter personal fără acordul proprietarului lor sau cu încălcări, nerespectarea cerinței de distrugere a informațiilor personale și încălcarea condițiilor de stocare a acestor informații.

Ce sunt datele personale

Aceasta este orice informație necesară pentru stabilirea angajatorului relaţiile de muncă, care priveste angajatul. De exemplu, numele de familie, prenumele, patronimul, data și locul nașterii, locul de reședință etc.

Exemple de documente care conțin date cu caracter personal includ:

  • card de angajat care conține numele complet persoane, informații despre componența familiei, educație;
  • cartea de munca cu experiență de la locurile de muncă anterioare;
  • diplome, certificate de studii;
  • contract de munca.

Este interzisă primirea și prelucrarea datelor care nu au legătură directă cu activitățile de muncă. De exemplu, informații despre religie, naționalitate și afiliere politică. Aceste informații obţinute exclusiv de la angajaţii înşişi. Aceste condiții trebuie incluse în prevederile privind prelucrarea și protecția datelor cu caracter personal. Angajatorii sunt obligați să notifice angajatul și să obțină consimțământul scris al acestuia pentru prelucrarea, stocarea, utilizarea și distribuirea datelor sale.

Stocați datele corect

Datele personale ale angajaților sunt conținute în cardurile și fișierele personale ale acestora. Legea obligă pe toată lumea întreprindere specifică să elaboreze reguli pentru utilizarea și stocarea datelor despre angajații lor.

Prevederea privind protecția datelor cu caracter personal poate fi fie un document separat, fie o secțiune inclusă în Regulile actuale regulamentul intern al muncii.

Pentru a menține confidențialitatea informațiilor despre persoanele care lucrează în organizație, este întocmită o listă a funcționarilor care au acces la acestea. Ordinul numește o persoană responsabilă pentru colectarea, stocarea și prelucrarea datelor confidențiale. Angajati, manageri, director generalîntreprinderile semnează un Acord de nedivulgare.

Informațiile despre datele personale ale angajaților unei întreprinderi pot fi stocate atât pe hârtie, cât și în format electronic. În zilele noastre, astfel de informații sunt cel mai adesea stocate într-un mod mixt.

Exemplu de reglementări privind datele personale ale angajaților (2019) și dezvoltarea acestuia

În prima etapă de dezvoltare, este necesar să se determine ce date sunt utilizate în companie, cum sunt primite, stocate și prelucrate.

Pentru pregătirea documentelor organizatorice se utilizează reguli generale: titlul indică numele organizației, data și numărul documentului, în dreapta colțul de sus puneti stampila de aprobare.

Prevederea include următoarele informații:

  • scopurile și obiectivele întreprinderii atunci când lucrează cu date confidențiale;
  • liste cu astfel de date;
  • descrierea operațiunilor cu date care sunt adesea folosite în întreprindere;
  • metode de accesare a datelor;
  • listele și responsabilitățile personalului companiei atunci când utilizează informații;
  • drepturile angajaților companiei de a accesa informații;
  • responsabilitatea angajaților întreprinderii pentru dezvăluirea informațiilor.

Regulamentul se aprobă prin ordin al conducătorului societății. Un exemplu de regulament privind prelucrarea datelor cu caracter personal ale angajaților ar trebui să fie disponibil pentru toți angajații pentru revizuire. Aceștia ar trebui să își pună semnătura pe o foaie sau jurnal de bord, care, de regulă, este păstrată de departamentul de personal al angajatorului. Revista este o listă a angajaților companiei, unde toată lumea semnează după ce a citit acest act local.

APROBAT

Prin ordin de aprobare

Dispoziții de prelucrare

date personale

Episcop comandant

S.V. Riakhovsky

POZIŢIE
DESPRE PRELUCRAREA DATELOR PERSONALE
ÎN ORGANIZAȚIA RELIGIOSĂ CENTRALIZATĂ UNIUNEA RUSĂ A CRESȚINILOR CREDINȚEI EVANGELICE (PENTECOSTALII)

1. Dispoziții generale

1.1. Reglementările privind prelucrarea datelor cu caracter personal (denumite în continuare Regulamente) stabilesc condițiile și procedura de prelucrare a datelor cu caracter personal, care se realizează de către organizația religioasă centralizată Uniunea Unită Rusă a Creștinilor de Credință Evanghelică (Penticostali) ( denumit în continuare Operatorul).

1.2. Reglementările au fost elaborate în conformitate cu Politica privind prelucrarea datelor cu caracter personal și asigurarea securității (denumită în continuare Politica) și în conformitate cu clauza 2 din partea 1 a art. 18.1 din Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal” (denumită în continuare Legea federală „Cu privire la datele cu caracter personal”), precum și următoarele acte juridice de reglementare: Codul civil Federația Rusă; Codul Muncii Federația Rusă din 30 decembrie 2001 Nr. 197-FZ; Codul fiscal al Federației Ruse din 31 iulie 1998 nr. 146-FZ; Legea federală „Cu privire la contabilitate» din 6 decembrie 2011 Nr. 402-FZ „Cu privire la contabilitate”; Decretul Guvernului Federației Ruse din 15 septembrie 2008 nr. 687 „Cu privire la aprobarea Regulamentului privind specificul prelucrării datelor cu caracter personal efectuată fără utilizarea instrumentelor de automatizare”; Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”.

2. Organizarea prelucrării datelor cu caracter personal

2.1. Pentru a asigura îndeplinirea obligațiilor prevăzute de Legea federală „Cu privire la datele cu caracter personal” și de actele juridice de reglementare adoptate în conformitate cu aceasta, Operatorul desemnează o persoană responsabilă cu organizarea prelucrării datelor cu caracter personal (denumită în continuare Responsabil).

2.2. Persoana responsabilă este obligată:

  • asigura aprobarea, aplicarea și actualizarea, dacă este necesar, a Politicii, Regulamentelor și a altor acte locale privind prelucrarea datelor cu caracter personal;
  • evaluează eficacitatea măsurilor luate pentru a asigura securitatea datelor cu caracter personal înainte de punerea în funcțiune a sistemului informatic al Operatorului;
  • să evalueze prejudiciul care poate fi cauzat persoanelor vizate de date cu caracter personal în cazul unei încălcări a Legii federale „Cu privire la datele cu caracter personal”;
  • realiza control intern asupra respectării de către Operator și angajații săi cu legislația privind datele cu caracter personal, Politica, Reglementările și alte acte locale privind prelucrarea datelor cu caracter personal, inclusiv cerințele pentru protecția datelor cu caracter personal (denumite în continuare - Acte de reglementare);
  • comunică salariaților împotriva semnării prevederile actelor normative la încheierea unui contract de muncă, precum și din proprie inițiativă;
  • oferă angajaților acces la datele personale prelucrate în sistem informatic Operatorul, precum și mediile lor materiale, numai pentru a îndeplini sarcinile de serviciu;
  • organizează și controlează primirea și prelucrarea cererilor și solicitărilor de la persoanele vizate, asigură exercitarea drepturilor acestora;
  • să asigure interacțiunea cu organismul autorizat pentru protecția drepturilor persoanelor vizate de date cu caracter personal (denumit în continuare Roskomnadzor).

3. Asigurarea securității datelor cu caracter personal

3.1. Angajații care au acces la datele cu caracter personal sunt obligați să nu le dezvăluie unor terți sau să le distribuie fără acordul subiectului datelor cu caracter personal, cu excepția cazului în care legea federală prevede altfel.

3.2. Pentru a proteja datele cu caracter personal de acțiunile ilegale (în special, accesul neautorizat sau accidental, distrugerea, modificarea, blocarea, copierea, furnizarea, distribuirea), Operatorul aplică un set de măsuri legale, organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal. , care constituie un sistem de protecție a datelor cu caracter personal.

3.3. Utilizarea unui set de măsuri pentru asigurarea securității datelor cu caracter personal asigură nivelul stabilit de securitate a datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic al Operatorului.

3.4. Pentru a asigura îndeplinirea obligațiilor prevăzute de Legea Federală „Cu privire la Datele cu Caracter Personal” și de actele juridice de reglementare adoptate în conformitate cu aceasta, Operatorul desemnează pe cineva responsabil cu asigurarea securității datelor cu caracter personal în sistemul informațional.

3.5. Persoana responsabilă cu asigurarea securității datelor cu caracter personal din sistemul informațional este obligată:

  • identificarea amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic al Operatorului;
  • asigură implementarea măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal și utilizarea instrumentelor de securitate a informațiilor necesare atingerii nivelului stabilit de securitate a datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic al Operatorului;
  • stabilește reguli de acces la datele cu caracter personal prelucrate în sistemul informatic al Operatorului, precum și asigură înregistrarea și contabilizarea tuturor acțiunilor cu acesta;
  • să organizeze detectarea faptelor de acces neautorizat la datele cu caracter personal și să ia măsuri de răspuns, inclusiv restaurarea datelor cu caracter personal modificate sau distruse din cauza accesului neautorizat la acestea;
  • efectuează anual controlul intern asupra asigurării nivelului stabilit de securitate a datelor cu caracter personal atunci când sunt prelucrate în sistemul informatic al Operatorului.

4. Exercitarea drepturilor persoanelor vizate de date cu caracter personal

4.1. Atunci când o persoană vizată de date cu caracter personal contactează sau primește cererea sa (denumită în continuare Apel), Persoana Responsabilă se asigură că persoana vizată a datelor cu caracter personal primește informații despre disponibilitatea datelor cu caracter personal care o privesc, precum și posibilitatea de a se familiariza cu aceste date personale în termen de 30 de zile de la data contestației.

4.2. În funcție de disponibilitate temeiuri legale pentru a refuza furnizarea subiectului datelor cu caracter personal informații despre disponibilitatea datelor cu caracter personal care îl privesc, precum și posibilitatea de a se familiariza cu aceste date cu caracter personal, Responsabilul se va asigura că subiectului datelor cu caracter personal i se trimite un răspuns motivat în scris, care să conțină o trimitere la prevederea părții 8 a art. 14 din Legea federală „Cu privire la datele cu caracter personal” sau altă lege federală, care stă la baza unui astfel de refuz, în termen de 30 de zile de la data cererii.

4.3. Atunci când subiectul datelor cu caracter personal furnizează informații care confirmă că datele sale cu caracter personal prelucrate de Operator sunt incomplete, inexacte sau irelevante, Responsabilul se va asigura că modificările necesare sunt aduse datelor cu caracter personal în termen de 7 zile lucrătoare de la data Cererii.

4.4. Atunci când subiectul datelor cu caracter personal furnizează informații care confirmă că datele sale cu caracter personal prelucrate de Operator sunt obținute ilegal sau nu sunt necesare pentru scopul declarat al prelucrării, Responsabilul va asigura distrugerea acestor date cu caracter personal în termen de 7 zile lucrătoare de la data Aplicație.

4.5. Persoana responsabilă se asigură că subiectul datelor cu caracter personal este informat cu privire la modificările aduse datelor sale cu caracter personal și măsurile luate și, de asemenea, ia măsuri rezonabile pentru a anunța terții cărora le-au fost transferate datele personale ale acestui subiect.

4.6. În cazul în care subiectul datelor cu caracter personal își retrage consimțământul pentru prelucrarea acestora, acesta poate fi continuat dacă există motive specificate în clauza 2-11 din partea 1 a art. 6, partea 2 art. 10 și partea 2 art. 11 Legea federală „Cu privire la datele cu caracter personal”.

5. Interacțiunea cu Serviciul federal pentru supraveghere în domeniul comunicațiilor, tehnologia de informațieŞi comunicatii de masa RF (Roskomnadzor)

5.1. La solicitarea Roskomnadzor, Persoana Responsabilă va organiza furnizarea de acte locale privind prelucrarea datelor cu caracter personal și a documentelor care confirmă adoptarea măsurilor de respectare a cerințelor Legii federale „Cu privire la datele cu caracter personal” în termen de 30 de zile de la data primirea cererii.

5.2. La solicitarea Roskomnadzor, Persoana Responsabilă va organiza clarificarea, blocarea sau distrugerea datelor personale nesigure sau obținute ilegal în termen de 30 de zile de la data primirii cererii.

5.3. În cazurile prevăzute la art. 22 din Legea federală „Cu privire la datele cu caracter personal”, responsabilul trimite o notificare către Roskomnadzor cu privire la intenția de a prelucra datele cu caracter personal.

5.4. Dacă este necesar, Responsabilul va trimite cereri către Roskomnadzor cu privire la prelucrarea datelor cu caracter personal efectuată de Operator.

6. Răspunderea pentru încălcarea procedurii de prelucrare și asigurare a securității datelor cu caracter personal

6.1. Dacă un angajat încalcă prevederile legislației în domeniul datelor cu caracter personal, acesta poate fi tras la răspundere disciplinară, materială, civilă, administrativă și penală în modul stabilit de Codul Muncii al Federației Ruse și altele. legi federale, în conformitate cu partea 1 a art. 24 Legea federală „Cu privire la datele cu caracter personal” și art. 90 Codul Muncii al Federației Ruse.

6.2. În cazul în care un angajat dezvăluie date cu caracter personal care i-au devenit cunoscute în legătură cu îndeplinirea atribuțiilor de serviciu, contractul de muncă cu acesta poate fi reziliat în conformitate cu paragrafele. "c" clauza 6 din art. 81 Codul Muncii al Federației Ruse.