Valg av de viktigste dokumentene på forespørsel. Overføring av personopplysninger til tredjepart (forskrifter, skjemaer, artikler, ekspertråd og mye mer).
Forskrift: Overføring av personopplysninger til tredjepart
Artikler, kommentarer, svar på spørsmål: Overføring av personopplysninger til tredjepart
Dokumentet er tilgjengelig: i den kommersielle versjonen Consultant Plus
Skjemaer av dokumenter: Overføring av personopplysninger til tredjepart
Dokumentet er tilgjengelig: i den kommersielle versjonen Consultant Plus
Dokumentet er tilgjengelig: i den kommersielle versjonen Consultant Plus
Artikkel TKRF 88. Overføring av personopplysninger til arbeidstaker
Kommentar til artikkel 88
1. Som hovedregel kan arbeidstakerens personopplysninger ikke overføres til en tredjepart. Unntakene til denne regelen er: 1) utstedelse av arbeidstaker av skriftlig samtykke til overføring av personopplysninger til tredjepart; 2) overføring av personopplysninger til arbeidstaker for å hindre trusler mot arbeidstakerens liv og helse; 3) saker opprettet ved føderal lov.
2. Ved fastsettelse av at det er tillatt å utstede en ansattes skriftlige samtykke til overføring av personopplysninger til en tredjepart, bør den styres av Russlands forfatning og artikkel 9 nr. 86 av arbeidskodeksen ved å forby en ansatt fra sin rett til privatliv, personlige og familiens hemmeligheter. For innholdet i en slik avtale, se punkt 3 i kommentarene til Art. 86.
3. Mottakere av personopplysninger for en ansatt på juridisk grunnlag er:
Sosialforsikringsfondet i Russland;
Pensjonsfondet i Russland;
Federal Labor Inspectorate;
Andre organer med statlig tilsyn og kontroll over overholdelse av arbeidslovgivningen;
Forvaltningsmyndigheter, fagforeninger som er involvert i undersøkelsen av industriulykker.
I samsvar med Art. 5 i forbundsloven av 24. juli 1998 N 125-FZ "På obligatorisk sosialforsikring mot ulykker og yrkessykdommer" er personer som utfører arbeid på grunnlag av en ansettelseskontrakt, omfattet av obligatorisk sosial forsikring mot ulykker og yrkessykdommer. § 7 i art. 17 i denne loven forplikter arbeidsgiver til å samle inn og på egen regning for forsikringsselskapet innen de frister som er fastsatt av assurandøren, dokumenter som ligger til grunn for beregning og betaling av forsikringspremier, tildeling av forsikringsdekning og annen informasjon som er nødvendig for gjennomføring av tvungen sosial forsikring mot ulykker og yrkessykdommer.
Arbeidsgiver er forpliktet til å gi til den relevante organen i Pensjonsfondet i Russland informasjon om alle personer som arbeider i henhold til en ansettelseskontrakt. Denne informasjonen kan gis enten i form av dokumenter skriftlig eller i elektronisk form (på magnetiske medier eller via kommunikasjonskanaler), forutsatt at det er garantier for deres autentisitet og beskyttelse mot uautorisert tilgang og forvrengning. Spørsmålet om muligheten for å gi informasjon i elektronisk form er bestemt av Den russiske føderasjons pensjonsfond sammen med spesifikke arbeidsgivere (artikkel 8 i forbundsloven av 1. april 1996 N 27-ФЗ "På individuell (personlig) regnskap i det obligatoriske pensjonsforsikringssystemet").
Arbeidsgiver som skattemessig for arbeidstakere som beregner, trekker fra de midler som er betalt til ansatte og overfører relevante avgifter til budsjettet, er arbeidsgiver plikt til å sende til skattemyndigheten på registreringsstedet de dokumenter som er nødvendige for å overvåke riktigheten i beregning, tilbakeholdelse og overføring av skatter (Art. 24 i skattekoden i Russland).
I samsvar med Art. 357 TC statlige arbeidsinspektører i gjennomføringen av tilsynsaktiviteter har rett til å be om fra arbeidsgivere og motta gratis fra dem de dokumenter og opplysninger som er nødvendige for å utføre tilsyns- og kontrollfunksjoner, inkludert personopplysninger for ansatte.
Informasjon om en gruppeulykke på jobb, en alvorlig ulykke på jobben, en ulykke på jobben med dødelig utfall, skal sendes av arbeidsgiveren til organisasjonene som er nevnt i kunst. 228,1 TC.
I samsvar med del 5 i art. 20 i den føderale lov av 27. juli 2004 N 79-ФЗ "På den russiske føderasjonens tjenestemann" opplyses opplysninger om inntekter, eiendoms- og eiendomsforpliktelser for føderale tjenestemenn, som er utnevnt og avskediget av presidenten av Den Russiske føderasjon eller Russlands føderasjon, gitt for offentliggjøring til det russiske massemediet ved deres tiltalelser samtidig med informering av de angitte tjenestemennene om det og opplysninger om inntekt, eiendom og forpliktelser ah eiendom natur sivil tjeneste av faget i Russland gitt for publisering til nasjonale og regionale medier på sine søknader samtidig informere det av disse tjenestemenn.
4. I moderne forhold gir en arbeidsgiver ofte sine potensielle eller faktiske motparter informasjon om ansatte ansatt med det for å inngå ny eller fornyelse av en allerede inngått kontrakt. Den kommenterte artikkelen tillater overføring av personopplysninger til en ansatt i arbeidsgiverens kommersielle interesser, men begrenser slik overføring bare til de tilfeller hvor arbeidstaker skriftlig gir samtykke til kommunikasjon av personopplysninger til en bestemt tredjepart skriftlig. Utstedelse av samtykke til overføring av personopplysninger til en ubestemt sirkel av tredjeparter eller uten å begrense tidspunktet for slik overføring, gir ikke anledning til juridiske konsekvenser og kan ikke danne grunnlag for overføring av personopplysninger.
5. Siden personopplysninger er klassifisert som konfidensiell informasjon, er alle personer som har denne informasjonen forpliktet til å observere en spesiell bruksform og beskyttelse av personopplysninger for ansatte. Personer som lovlig ervervet personopplysninger til en ansatt må derfor bruke dem utelukkende til det formål som ble oppgitt når de ber om relevant informasjon, og heller ikke å utlevere slik informasjon. Unntak fra denne regelen er kun bestemt av føderale lover. Behovet for videre overføring av personopplysninger til ansatte kan i særlig grad stammer fra lovgivningen om administrative lovbrudd og straffelovgivning. For eksempel kan en protokoll om administrativ lovbrudd som inneholder personlige opplysninger til en ansatt i tilfelle når personen som gjorde det, ikke har rett til å vurdere et saksforhold, sendes til den aktuelle personen innen 24 timer fra protokollens utarbeidelse (artikkel 28.8 i administrativ lov Russland).
En arbeidsgiver som overfører arbeidstakerens personopplysninger til tredjepart har krav på å kreve av disse personene streng målrettet bruk av disse dataene og presentasjon av bevis på at denne regelen blir observert. Formen for et slikt krav bestemmes av arbeidsgiveren uavhengig, og skjemaet for å fremlegge bevis for at tredjepart utfører sin plikt til å bevare konfidensialiteten til personopplysninger, er avtalt av partene.
6. I en hvilken som helst arbeidsgivers aktiviteter oppstår uunngåelig behovet for periodisk overføring av personopplysninger fra en arbeidstaker fra en strukturell enhet (ansatt) til en annen. Dermed overføres informasjon om en ny ansatt eller endringer i personopplysninger av personellstjenester til regnskapsavdelingen eller sikkerhetstjenesten. Slik overføring utføres på den måten som er foreskrevet av den lokale lovgivningen. Etablering av plikten til å bekjenne en ansatt med en slik handling under maling bidrar til åpenheten i arbeidet med behandling av personopplysninger og bidrar til en mer fullstendig realisering av menneskerettighetene til beskyttelse av ukrenkelsen av hans personlige liv.
På lokale lovgivningsmessige handlinger, se Art. 8 TC og kommentere det.
7. Tilgang til personopplysninger for ansatte i løpet av behandlingen er begrenset til sirkelen av personer for hvem behandling av relevante data er en av deres offisielle plikter (personell, regnskap og andre tjenester). Retten til tilgang til personopplysninger for ansatte er også gitt til personer som utfører oppgaver og tilsyn med arbeidsgiveravtalenes arbeidslovgivning, samt til personer som kontrollerer at arbeidsgiveravgift er korrekt som skattemyndighet til en ansatt eller forsikret i det obligatoriske statsforsikringssystemet. For mer informasjon om personer som utfører tilsynsoppgaver og overvåkning av arbeidsgiveravtale, se art. Art. 357, 366 - 369 TC og kommenterer dem.
Det skal bemerkes at regelen som er fastsatt av den kommenterte artikkelen om disse personene, og som kun oppnår de personlige dataene de trenger for å utføre bestemte funksjoner, er vanskelig å implementere i praksis. Personopplysninger for den ansatte er samlet i sin personlige fil, er ikke gjenstand for fragmentering og er i prinsippet tilgjengelig for gjennomgang av personen som utøver tilsynsfunksjonene i sin helhet. Det er mulig å oppfylle lovens krav med klart arbeid med personer som utfører tilsyns- og kontrollfunksjonene i samsvar med arbeidslovgivningen, av de ansatte ansatt av en bestemt arbeidsgiver, hvis jobbfunksjon er å jobbe med personopplysninger.
Ved overføring av personopplysninger i en organisasjon til den aktuelle strukturelle enheten (ansatt), skal delen av personopplysninger som er nødvendig for en bestemt strukturell enhet (ansatt) for å utføre sine funksjoner overføres.
8. Informasjon om helsetilstanden til en borger er en medisinsk hemmelighet. I samsvar med Art. 61 av grunnlaget for lov om beskyttelse av borgers helse av 22. juli 1993, er overføring av opplysninger som utgjør medisinsk konfidensialitet til en arbeidsgiver tillatt med samtykke fra en borger eller hans juridiske representant. Unntakene er tilfeller når opplysninger om arbeidstakerens helsestatus overføres til arbeidsgiveren når det er en trussel om spredning av smittsomme sykdommer, masseforgiftning og skader, eller om det er grunn til å tro at skade på borgerens helse var forårsaket av ulovlige handlinger. Informasjon om tilstanden til mental helse hos en borger kan kun overføres til en arbeidsgiver i saker som er opprettet ved føderale lover (artikkel 8 i loven i Den russiske føderasjon 2. juli 1992 N 3185-1 "Om psykiatrisk bistand og garantier for borgernes rettigheter i sin hensikt").
Den kommenterte artikkelen begrenser arbeidsgiverens rett til å motta informasjon om helsestatusen til en ansatt med de dataene som ligger til grund for spørsmålet om hvorvidt arbeidstaker kan utføre en bestemt jobbfunksjon. Selv om kommentert artikkel tillater en arbeidsgiver å motta informasjon om arbeidstakers helsestatus (det vil si en person som allerede har inngått et arbeidsforhold med en arbeidsgiver), bør det bemerkes at arbeidsgiveren trenger informasjon om borgers helse status i beslutningsprosessen for å inngå en ansettelseskontrakt. Slike opplysninger er innhentet av arbeidsgiveren som følge av en medisinsk undersøkelse ved inngåelse av en ansettelseskontrakt. For mer om dette, se Art. 69 TC og kommentere det.
Når en arbeidsgiver realiserer retten til å tiltrekke seg arbeidstakere til overtid, arbeid i helger og ikke-arbeidsferier, bør arbeidsgiveren ha informasjon om at det er mulig å få dem av medisinske årsaker til funksjonshemmede, kvinner med barn under tre år (Artikkel 99, 113 i arbeidskodeksen ). For å avgjøre hvorvidt arbeidstakeren er egnet til å utføre det tildelte arbeidet og forebygge yrkessykdommer, må arbeidsgiveren ha opplysninger om helsen til arbeidstakere som arbeider med tungt arbeid, arbeid med skadelige og (eller) farlige arbeidsforhold, arbeid knyttet til trafikk. For å beskytte folkehelsen bør en arbeidsgiver ha informasjon om helsestatus for arbeidstakere som er ansatt i organisasjoner i næringsmiddelindustrien, catering og handel, vannverk, helsetjenester og barnepass. For mer om dette, se Art. Art. 65, 69, 213 TC og kommentere dem.
9. Representanter for ansatte i forhold til å skaffe personopplysninger til en ansatt er tredjeparter. Overføringen av denne informasjonen til arbeidstakerrepresentanter utføres i samsvar med restriksjoner og regler fastsatt av artikkelen som blir kommentert. Ansattes representanter er forpliktet til å følge hemmeligholdsregimet av de ansattes personopplysninger de mottar.
På arbeidernes representanter, se Art. Art. 29 - 31 TC og kommentere dem.
Spekteret av informasjon om den ansatte, overført til representanter for ansatte, bestemmes av disse representantene. Den universelle funksjonen til enhver representant for arbeidstakere innen arbeidsforhold er funksjonen av deltakelse i kollektive forhandlinger for å inngå en kollektiv avtale eller avtale. Den universelle informasjonen som må sendes videre til arbeidernes representanter, er den informasjonen som er nødvendig for kollektive forhandlinger.
En fagforening som representant for arbeidstakere kan også utføre spesielle sosiale funksjoner fastsatt av dets charter. For å oppfylle disse funksjonene bør fagforeningen spesielt ha informasjon om sirkelen av ansattes avhengige, behovet for spesialisert behandling av arbeidstakeren, osv. Siden tilstedeværelsen av slik informasjon, i motsetning til den informasjon som er nødvendig for kollektive forhandlinger, ikke er underlagt en bestemt føderal lov, er det sendt med skriftlig samtykke fra den ansatte.
Kommentarer til Russlands arbeidskodeks
Krav til overføring av personopplysninger til tredjepart
Å være eier av en privat bedrift, en leder eller bare en juridisk litteraturborger, må overvåke lovgivningen i Russland og dets endringer i tide. Nylig har slike aktuelle problemstillinger blitt normer for statsborgerdata.
Koncept, objekt og emne
Personlige data anses som pålitelig informasjon som har en forbindelse med en rent spesifikk person. Slike opplysninger inkluderer:
- alder, informasjon om fødselsdatoen;
- byen hans fødsel og registrering;
- Fullt navn;
- mottatt utdanning;
- lønnsnivå;
- ekteskapelig status.
Det vil si at det er informasjonen som gjør at du uten tvil kan bestemme hvem det er sagt om.
En av lovens viktigste krav er konfidensialitet og manglende opplysning til tredjepart.
Emne PD er personen hvis data er brukt. I dag regulerer lovens normer klart og strengt hva som er mulig og hva som ikke kan gjøres med en persons PD. Du kan bare utføre handlinger når han ikke er imot. Det er en liste over forekommende fakta når slik samtykke må skrives for hånd. For eksempel, bruk av informasjon om nasjonalitet, preferanser i politiske synspunkter, eventuelle fakta om hvor sunt emnet er og om sitt lukkede liv.
Det er heller ikke tillatt å plassere PD (personlige data) i kjente kanaler, for eksempel på Internett.
Hva er gjenstand for PD? Dette er først og fremst:
- data som karakteriserer en bestemt person;
- Fakta om hvorvidt en person er gift;
- fakta som kan identifiseres, samt informasjon om forfedre og biografier;
- informasjon om sykdommer og behandling.
Objekter av personlig informasjon finnes i slike dokumenter som:
- et pass av en borger eller en annen verdifull bærer av et identitetskort;
- sertifikater som inneholder opplysninger om beløp mottatt fra det forrige selskapet;
- dokumenter for barnet, ekteskapsattest;
- et spørreskjema som arbeidsgivere blir bedt om å fylle ut når de kommer inn for et intervju;
- sertifikat eller annet dokument om utdanning
- ansettelsesrekord;
- militær ID;
Nyanser av lovgivningen
Omfanget av de ovennevnte problemene er basert og regulert av Russlands forfatning, den føderale lovgivningen i vårt land og internasjonale avtaler i Russland.
Den føderale loven "Personlige data" datert 27. juli 2006 nr. 152-FFB regulerer disse forholdene grundigst.
- legitimiteten til målene og metoder for behandling av PD;
- Avvisning i bruk av overdreven informasjon som ikke oppfyller målet;
- metoder og typer handlinger må være begrunnet med målene.
Fokus på resultatet kan være svært forskjellig. Blant dem er:
- ansettelse av en borger på arbeidsplassen;
- Levering av medisinske tjenester;
- enhet i barnehage, skole, leir;
- Sikre sikkerheten til arbeidstakeren.
Overholdelse av loven er også regulert av arbeidskodeksen. For eksempel, del 8 av art. 86 i arbeidskodeksen i Russland sier at alle ansatte eller deres juridiske representanter må signere forskriften om data.
I dette tilfellet utarbeider arbeidsgiveren som regel regnskapet for innsamling og bevaring av signaturer.
Informasjonsomsetning
Omfanget av omsetningen til PD inkluderer en rekke operasjoner, hoveddelen av hvilke vil bli diskutert nedenfor.
Tilvejebringelse av informasjon - handlinger i henhold til hvilke data overføres til andre personer.
For tiden er listen over organisasjoner som ber om dem, ganske imponerende:
- skolen;
- sykehus;
- banker og andre kredittinstitusjoner;
- organisasjoner som søker ansettelse og mange andre.
Absolutt et selskap bør være i samsvar med loven, i hvis hender individuell informasjon om enkeltpersoner faller. Mange firmaer, for eksempel å selge varer eller tjenester, samler inn data fra sine kunder. De må handle tydelig i denne forbindelse. En LLC eller individuell gründer må gjøre en endring i formene av kontraktsmessige dokumenter med både ansatte og kunder. Som et alternativ, utvikle og foreskrive i kontrakten en spesiell form for samtykke til behandling av PD.
Behandling er harmonisering av data i samsvar med systemet, prosedyren for innsamling, akkumulering, lagring og overføring, i samsvar med målene, sletning og andre manipulasjoner med kunnskap om en person.
Tips! På selskapets nettside, hvor bestillingen er plassert, anbefales det å legge til et obligatorisk merk med personlig informasjon. At klienten godtar å gi dem. Og også det faktum at selskapets ansatte har rett til å sende dem til kurertjenesten.
Det er verdt å huske at enhver bruk av personopplysninger kun kan være frivillig, med unntak av enkelte tilfeller gitt ved lov.
Regulerer ovennevnte relasjoner mellom emnet og operatøren (organisasjonen som samler, behandler, bruker data) Spetsorgan - Roskomnadzor. Regelmessig er de planlagte inspeksjoner i ulike organisasjoner. I tillegg til Roskomnadzor kan Rostrud følge overensstemmelse med forbundsloven. En kompetent leder vil ikke vente på neste bot, men vil skape i sin organisasjon på grunnlag av en politikk for behandling av PD.
Det vil inkludere bestillinger, bekjente, regler og handlinger for alle ansatte i organisasjonen.
Forretningsordenen kan for eksempel inneholde følgende aspekter:
- Hva er egentlig personlig data i dette eller det tilfellet;
- Den faktiske informasjonen som dokumenterer arbeidsgiveren vil gi til myndighetene.
- Hvilke av kollegene har rett til å jobbe med PD. Derfor, hvem vil være ansvarlig for overholdelse av alle handlinger og forskrifter.
- Hvilke tiltak brukes i spørsmålet om bevaring og konfidensialitet.
- Prosedyren for overføring av fakta om en person i selskapet og til tredjepart.
- Prosedyren for å klargjøre informasjon om personopplysninger, rekkefølgen for blokkering og sletting.
Egenskaper ved levering av personopplysninger
I del 1 av art. 9 i lov nr. 152-FZ, er det en bemerkning at en borger bare kan være enig i full bevissthet og forståelse av hva han gjør. Formålet med denne forskriften er å sikre borgernes rettigheter og friheter, herunder privatliv, samt familiens hemmeligheter.
En borger har rett til å nekte når som helst fra det tidligere gitt samtykke, hvis han ikke har lyst til å avsløre dem. Spesielt hvis slike opplysninger på en eller annen måte krenker hans rettigheter og interesser. Du kan gjøre dette ved å skrive en uttalelse i et bestemt format. Det er nødvendig å utstede det i to eksemplarer, man forblir på hendene med et merke av andrehåndsfører operatøren.
Imidlertid er det i mange organisasjoner, inkludert i arbeidslivet, obligatorisk å bruke data om en person for å inngå avtaleforhold. Under denne betingelsen kan du ikke nekte å gi.
I tillegg til avtalen om bruk av PD, er det nødvendig å motta en positiv beslutning om overføringen til 3 personer.
Det er visse unntak når enkeltpersoner kan overføre de ovenfor beskrevne dataene til en borger uten hans samtykke. Disse tilfellene inkluderer:
- når overført til skatt inspeksjon og militære myndighet;
- når anmodet av politiet eller anklageren
- service i tilfelle trusler mot menneskers liv og helse;
- på brev av arbeidsinspektører;
- i tilfelle alvorlig skade på liv og helse i riktig myndighet.
Samtidig er ikke et kredittinstitusjon, bankansatte, forsikringsselskapsansatte inkludert i denne listen. Der får informasjonen med samtykke fra personen.
Ansvar for brudd
For manglende overholdelse av kravene til administrativt ansvar. Ifølge artikkel 13.11 i Russlands føderale lovbruddskodeks er straffen ikke så alvorlig - en advarsel eller en bøde på 500 til 1000 rubler (for sivile), i størrelsesorden 5.000 til 10.000 rubler (for juridiske personer). Et slikt relativt lett ansvar er uforenlig med kompleksiteten og bulkigheten av selve dokumentet. Foreløpig er ventende endringer i loven, ifølge hvilke bøter kan økes til 300.000 rubler.
Sammen med en så mild form for straff, inneholder loven informasjon om muligheten for å starte en straffesak i visse tilfeller.
Loven er vedtatt - det betyr at det må observeres, rettidig sporing av endringer og endringer.
For detaljer om overføring av personopplysninger, se videoen nedenfor.
alishavalenko.ru
Nylige poster
Siste kommentarer
kategorier
Overføring av telefonnummer til tredjepart overtredelse av loven om personopplysninger
- 07.28.2018 /
- 0 kommentarer
I tillegg, hvis dette nummeret er tildelt en bestemt person under en kontrakt med en telekomoperatør, er det ikke nødvendig å snakke om det upersonlige innholdet til oppringingsnumrene. Og ifølge Art. 3 av loven, personopplysninger - opplysninger om direkte eller indirekte bestemt eller bestemt person (personopplysninger), det vil si hans etternavn, fornavn, patronymisk navn, år, måned, dato og sted for fødsel, adresse, familie, sosial, eiendom stilling, utdanning, yrke, inntekt, annen informasjon, i forbindelse med hvilken det kan konkluderes med at mobilnummeret også er personopplysninger. I tillegg er Art.
Er telefonnummeret personlige data
En bøde på 100 000 til 300 000 rubler eller fratatt rett til å holde visse stillinger for en periode på tre til fem år, eller tvangsarbeid for en periode på opptil fem år (med berøvelse av retten til å holde visse stillinger i en periode på opptil seks år eller uten det) eller arrestere opptil seks måneder eller fengsel i opptil fem år (med berøvelse av retten til å holde visse stillinger i opptil seks år). En ulovlig nektelse av en tjenestemann til å fremlegge dokumenter og materialer som direkte påvirker borgernes rettigheter og friheter, eller tilbakebetaling av ufullstendig eller bevisst falsk informasjon til ham, dersom det forårsaket skade på rettighetene og legitime interessene til borgerne. En bot på opptil 200 000.
Krav til overføring av personopplysninger til tredjepart
Ansvar for brudd på loven om personopplysninger
Føderal lov "På personopplysninger" er en operatør et statlig organ, en kommune, en juridisk eller en naturlig person, organisere og (eller) utføre personlig databehandling, samt definere mål og innhold i personlig databehandling. Samtidig er operatørene av disse organene og personene uavhengig av inkludering i register over operatører som er involvert i behandling av personopplysninger som vedlikeholdes av Roskomnadzor. Spørsmål: I hvilke tilfeller er operatøren berettiget til å behandle personopplysninger uten å varsle autorisert organ for beskyttelse av personopplysningers rettigheter? Svar: Ifølge h.
1 ss. 22 i føderal lov av 27. juli 2006
Overføring av personopplysninger til tredjepart
Boris Voronin: "Bare den dovne forsøkte ikke å skrive en samlerobjekt." Som direktør for National Association of Professional Collection Agencies (NAPCA), Boris Voronin, fortalte oss hvordan man skal leve mellom loven om konkurs for enkeltpersoner og loven om innsamlingsvirksomhet. I tillegg kan ikke kopiering av et identitetsdokument, som er en databank, betraktes som personlig databehandling. Dette ble også gjentatte ganger rapportert om Roskomnadzor. Hvordan samhandle med banker og mobiloperatører i tilfelle endring av eier av et SIM-kortnummer, endring av telefonnummer eller betaling.
Det er spørsmål om hvordan man samhandler med banker og mobiloperatører i tilfelle erstatter eieren av et SIM-kortnummer, endrer telefonnummeret eller foretar betalinger ved bruk av mobilkommunikasjon.
Overføring av personopplysninger til tredjepart uten samtykkeartikkel
- på tjenestemenn - fra 4000 til 10 tusen rubler;
- for individuelle entreprenører - fra 10 000 til 20 000 rubler;
- for juridiske personer - fra 25 000 til 45 000 rubler.
Del 5 av Art. 13.11 i den russiske føderasjonskodeksen Dersom operatøren ikke behandler personopplysninger uten å bruke automatiseringsverktøy, plikter å overholde vilkår som sikrer deres sikkerhet og utelukker uautorisert tilgang til dem dersom dette resulterte i ulovlig eller utilsiktet tilgang til data, ødeleggelse, endring, blokkering, kopiering, levering, distribusjon eller andre ulovlige handlinger i forhold til dem. Administrative bøter:
- for borgere - fra 700 til 2000 rubler;
- på tjenestemenn - fra 4000 til 10 tusen rubler;
- for individuelle entreprenører - fra 10 000 til 20 000 rubler;
- på juridiske personer - fra 25 000 til 50 000
- Juridiske ressurser
- Utvalg av materialer
- Overføring av personopplysninger til tredjepart
hoved~~POS=TRUNC
Valg av de viktigste dokumentene på forespørsel. Overføring av personopplysninger til tredjepart (forskrifter, skjemaer, artikler, ekspertråd og mye mer). Forskrift: Overføring av personopplysninger til tredjepart Føderal lov av 27.07.2006 N 152-FZ (som endret 12/31/2017) "På personopplysninger" 3. Operatøren har rett til å belaste behandling av personopplysninger til en annen person med samtykke fra det personopplysningstakeren, med mindre annet er gitt fastsatt av føderal lov, på grunnlag av en kontrakt som er inngått med denne personen, herunder en statlig eller kommunal kontrakt, eller ved vedtak av en relevant handling av en stat eller et kommunalt organ (heretter operatørens ordre).
- Overføringen av personopplysninger til tredjepart uten samtykke fra personopplysninger er ulovlig
- Bruk av telefonnumre, selv i fravær av tilleggsinformasjon om eiere, krever også samtykke.
- Er e-postadressen personlige data
- Ansvar for brudd på den føderale loven "På personopplysninger"
- Er det lovlig å samle inn personlige data fra annonseplasser eller sosiale nettverk?
- Er det lovlig å lage offentlig tilgjengelige personopplysninger?
- Hvem har rett til å behandle personopplysninger
Start nyhetsbrev Testmeldinger gratis Legg til en kommentar JComments © Det er forbudt å kopiere nettstedsmaterialene uten skriftlig tillatelse fra Target Telecom LLC OGRN 5147746239427Licensing No. 153002 Email: [email protected] Telefon: +7 (495) 966 13 03Adress: Moskva, ul.
Overføring av telefonnummer til tredjepart overtredelse av loven om personopplysninger
Del 6 av Art. 13.11 i den russiske føderasjonskodeksen. En operatør, som er en statlig eller kommunal myndighet, mangler en forpliktelse til å personliggjøre personopplysninger eller manglende overholdelse av de krav eller metoder som er fastsatt for dette formål. Advarsel eller pålegg av administrativ bøt på tjenestemenn i størrelsesorden 3 tusen til 6 tusen rubler. Del 7 av Art. 13.11 Kode for administrative lovbrudd i Den Russiske Federasjon Manglende innlevering eller forsinket innsending til staten eller annen autorisert informasjonsinstans, hvis innlevering er gitt ved lov eller utlevering av slik informasjon i ufullstendig eller forvrengt form Administrative bøter:
- for borgere - fra 100 til 300 rubler;
- på tjenestemenn - fra 300 til 500 rubler;
- for juridiske personer - fra 3000 til 5000
Administrativ kode i Russland Prosessering av personopplysninger uten skriftlig samtykke fra fagpersonen, når det er nødvendig, eller behandling av data i strid med kravene til sammensetningen av informasjonen som er inkludert i slik samtykke Administrative bøter:
- på borgere - fra 3000 til 5000 rubler;
- på tjenestemenn - fra 10 tusen til 20 tusen rubler;
- for juridiske personer - fra 15 000 til 75 000 rubler.
Del 2 av Art. 13.11 Kode for administrative lovbrudd i Russland Feil av operatøren om å publisere eller på annen måte gi ubegrenset tilgang til personopplysningspolitikken Advarsel eller administrativ straff:
- for borgere - fra 700 til 1000 rubler;
- på tjenestemenn - fra 3000 til 6000 rubler;
- for individuelle entreprenører - fra 5000 til 10 tusen rubler;
- for juridiske personer - fra 15 tusen til 30 tusen rubler.
Antonina Priezheva opplyste hva borgere klager over når de skriver klager om banker. Å overføre personlige data til tredjepart uten deres samtykke. Banker ber om et overskudd av personopplysninger, et nekte å fjerne personopplysninger ved slutten av kontraktsperioden, ulovlig databehandling.
Borgere er misfornøyd med at deres data overføres til eksterne organisasjoner. Ofte er borgerne misfornøyd med at deres data overføres til eksterne organisasjoner når de samler inn gjeld. Derfor gjelder disse klagerne oftest arbeidet med banker med innsamlingsbyråer.
Russisk lovgivning tillater bankene å behandle personopplysninger fra kunder og overføre dem til tredjeparter - i henhold til en agentordning, samt innenfor rammen av en saksavtale.
Overføring av personopplysninger til tredjepart i 2018
Relaterte artikler
I 2018 må arbeidsgiveren få samtykke fra ansatte til å overføre sine personopplysninger til en tredjepart. Det kan være mange årsaker til dataoverføring, for eksempel konklusjonen av frivillige helseforsikringskontrakter eller kvittering av lønnskort. Les om prosedyren, last ned det ferdige prøvedokumentet.
Når trenger du å overføre ansattes personopplysninger til tredjepart?
Lovgivningen om personopplysninger hvert år stiller strengere krav til deres beskyttelse. Det er åpenbart at operatørene samler dem ikke bare for å lagre og beskytte; behandling innebærer overføring.
Last ned dokumenter fra artikkelen
Artikkel 88 i LC RF fastsetter at i generelle tilfeller ikke overføring av personopplysninger til tredjepart er mulig. Bortsett fra to alternativer:
1. Kontoristet ga skriftlig samtykke til overføringen, mens han tidligere ble informert om hvem og hvorfor hans personlige opplysninger var nødvendig.
2. Fortrolige data overføres uten samtykke fra faget i spesielle tilfeller:
- til statlige organer;
- med trusselen mot menneskeliv og helse;
- i saker som er angitt i føderal lov.
Vi utarbeider en personaleprosess i henhold til Roskomnadzors nye krav
Hvis alt er klart med første ledd, trenger den andre forklaringer.
Når det gjelder offentlige etater, kan arbeidsgiveren ikke videresende informasjon om ansatte. Dette er:
- Sosialfond;
- Pensjonsfond;
- Skattemyndigheter;
- Arbeidsinspeksjon;
- Forvaltningsmyndighetene undersøker ulykker i selskapet.
Det er åpenbart at arbeidstakerens nektelse å melde arbeidsgiveren i samarbeid med disse institusjonene, er umulig.
Kredittinstitusjoner, banker, forsikringsselskaper er ikke inkludert i denne listen. Informasjon er kun gitt til dem med skriftlig samtykke fra den ansatte.
► Når det gjelder overføring av PD med trussel mot liv og helse, handler det om å prioritere sikkerheten i menneskelivet. For eksempel, i tilfelle plutselig forverring i helse, infeksjonsspredning og gjentatte forgiftninger, må arbeidsgiveren på forespørsel sende til helsestasjonen informasjonen han har om helsepersonellets helse.
Også i enkelte næringer trenger ansatte en foreløpig medisinsk undersøkelse (medisinsk bok), hvis resultater blir presentert av tilsynsmyndighetene under inspeksjoner.
► Som for de saker som er bestemt av føderal lov, for eksempel del 5 av art. 20 av Federal Law No. 79-ФЗ datert 27. juli 2004, som forplikter media til å publisere informasjon om inntekt og eiendom av tjenestemenn på deres klager.
Det er flere andre situasjoner der arbeidsgiver har tvil: kan man overføre PD eller ikke.
► Overfør mellom strukturelle divisjoner (fra personelloffiser til revisor eller til sikkerhetsavdeling). Denne prosedyren er nødvendig, og det er mulig, men må være fastsatt i forskriften om beskyttelse av PDN, som den ansatte er kjent med. Datautveksling foregår mellom personer som er inkludert i bestillingen på ansatte som har tilgang til personopplysninger.
► Overføring til ansattes slektninger. Til tross for nære bånd, er de tredjeparter i denne situasjonen, og kan ikke oppnås uten medarbeiderens samtykke.
► Overføring av informasjon til fagforeningen - med skriftlig samtykke fra den ansatte.
Hvordan organisere arbeid med personlige data slik at det er praktisk for deg og trygt for selskapet
Hvordan er overføringen av data
Ved inngåelse av en ansettelseskontrakt er det umulig å få skriftlig samtykke fra arbeidstaker til å levere sine personopplysninger til tredjepart i alle nødvendige situasjoner før oppsigelsestidspunktet.
Algoritmen for overføring av personopplysninger til tredjeparter i 2018 er som følger:
Trinn 1. Fra forekomsten kom den skriftlige forespørselen til arbeidsgiveren. Hans hovedkriterium er motivasjon. Dokumentet skal inneholde en indikasjon på formålet med forespørselen, en lenke til det juridiske grunnlaget for forespørselen, en liste over forespurte opplysninger.
Trinn 2. Etter å ha analysert det mottatte papiret, kan arbeidsgiveren umiddelbart nekte å utstede PD, hvis han er i tvil, og hevder at den forespurte informasjonen er tildelt loven til informasjon med begrenset tilgang.
Referanse bok av personell offiser som en gave!
Trinn 3. Hvis forespørselen er legitim, informerer lederen medarbeider om behovet for å være enig med navnet på institusjonen som ba om dataene og formålet med bruken.
Trinn 4. Medarbeider skriver samtykke eller nekte å overføre informasjon.
Trinn 5. Hvis samtykke er oppnådd, sender arbeidsgiveren søkeren den nødvendige informasjonen og påminner ham om ansvar og ber ham om å gi en rapport om bruk av data i samsvar med de fastsatte målene.
Trinn 6. Den myndighet som anmodet om informasjonen, etter å ha fullført manipulasjonene med den, sender lederen til medarbeiderens bekreftelse på at den har brukt den i strengt samsvar med målene som er angitt i den opprinnelige forespørselen.
Alle nevnte papirer er laget i fri form, siden det ikke finnes noen forenklede former.
Nye karrieremuligheter
Hvordan samtykke til overføring av personopplysninger til tredjepart
Dokumentet er enkelt å tegne, det kan utstedes i trykt eller håndskrevet form. Skrevet i navnet på lederen til ansatt (navn, pass, oppholdstillatelse). Essensen av dokumentet er omtalt i første setning: En person samtykker til sin arbeidsgiver om å gi personopplysninger til en tredjepart (institusjonens navn) for et bestemt formål. Følgende er en liste over informasjonen som overføres.
Når du utarbeider dokumentet, anbefales det å angi hvor lenge denne avtalen vil være gyldig. Avtalen slutter med arbeidstakerens underskrift og datoen for utarbeidelsen.
Ansvar for brudd
Inkonsekvent overføring av personopplysninger til tredjeparter i 2018 betraktes som deres offentliggjøring og innebærer ansvar for:
1. Disciplinær (bemerkning, reprimand, avskedigelse).
2. Administrative (artikkel 13 i administrativ kodeks) i form av bøter:
- 1-3 tusen rubler for borgere
- 5-10 tusen rubler for tjenestemenn;
- 20-50 tusen rubler. for organisasjoner.
3. Kriminell (straffelovens § 137), hvis det er bevist at overføringen var forsettlig, i form av:
- 200 tusen rubler fine;
- obligatorisk arbeid 120-180 timer.
- utøvende arbeid opp til 12 måneder;
- arrestere i opptil 4 måneder.
4. Sivilrett. Ifølge rettsavgjørelsen er skyldneren tvunget til å betale erstatning til offeret for moralsk skade.
Hvordan samtykke til overføring av personopplysninger til tredjepart? Eksempel og andre nyanser
Ledelsen av organisasjonen der arbeideren arbeider, har personlig informasjon om ham.
Av denne grunn er det etablert en prosedyre for overføring, beskyttelse, behandling og beskyttelse mot kommunikasjon til en tredjepart uten arbeidstakerens kunnskaper.
Sistnevnte må skrive samtykket skriftlig. La oss finne ut hvordan dette gjøres, og se også et eksempeldokument for overføring av personopplysninger til en tredjepart.
Kjære lesere! Våre artikler forteller om typiske måter å løse juridiske problemer på, men hvert tilfelle er unikt.
Hvis du vil vite hvordan du skal løse nøyaktig ditt problem - bare ring, det er raskt og gratis!
Hva er det
Personlige data refererer til all informasjon som angår et individ som er passende eller bestemt på grunnlag av denne informasjonen. Overføringen av personopplysninger styres av artikkel 88 i LC RF.
Offisielle mottakere av personlig informasjon
De offisielle mottakerne av personlig informasjon om en borger (til hvem det er mulig å overføre uten samtykke) betraktes som følgende institusjoner:
- FSS i Den Russiske føderasjon (Sosialforsikringsfond): På grunnlag av føderal lov nr. 125 "På obligatorisk sosial forsikring mot ulykker og yrkessykdommer".
- Pensjonsfond i Russland: regulert av føderal lov nr. 27 "På personlig regnskap i systemet med obligatorisk pensjonsforsikring".
- Skattetjenester: i henhold til lov nr. 146 del 1 i Russlands skattekodeks.
- Sysselsettingstjenester: i samsvar med føderal lov nr. 1032-1 "På sysselsetting i Russland".
- Innenriksdepartementets organer: Federal Law No. 3 "On Police", Federal Law No. 40 "På Federal Security Service", Federal Law No. 144 "På operasjonell søkaktivitet".
- Militære kommissariater: styrt av føderal lov nr. 53 om militær tjeneste og militær tjeneste, regjeringen for den russiske føderasjon nr. 719 "forskrift om militær registrering", dekret fra russlands president nr. 1132 om godkjenning av forskrifter for militære kommisjoner.
- Andre tjenester av statlig kontroll og tilsyn med overholdelse av arbeidslovgivning.
Opplysninger til tredjepart
Forbundsloven "For forbrukerbeskyttelse" omfatter behandling og etterfølgende overføring av dine personopplysninger, dersom det foreligger en medarbeiderens samtykke. I dette tilfellet opprettes et dokument skriftlig som holdes av arbeidsgiveren. Ved tvist blir dokumentet bevis for samtykke til overføring av arbeidstakerens personlige opplysninger til en ekstern enhet.
Hvert selskap kan bli utsatt for behov for periodisk å sende personopplysninger fra en ansatt fra en strukturell enhet til en annen. Denne informasjonen sendes av HR-avdelingen til regnskaps- eller sikkerhetstjenesten. I dette tilfellet må institusjonen informere medarbeideren om å få en signatur som bekrefter samtykket.
Hvilke organisasjoner har lov til å motta personlig informasjon fra en ansatt med hans samtykke? For eksempel kan slike institusjoner bli en bank for å behandle en ikke-kontanter konto, der arbeidsgiveren overfører lønn og andre inntekter til den ansatte. Eller kredittorganisasjoner der borgeren søkte om lån eller lån.
Papirformål
Bestemmelsen spesifiserer prosedyren for håndtering av ansattes personlige data.
Innholdet
Seksjon 9 i personopplysningsloven sier at den inneholder følgende klausuler:
- F. I. O. med adressen til den ansatte.
- Nummeret med utstedelsesdato og navnet på myndigheten som utstedte dokumentet som bekrefter identiteten til den ansatte.
- Navnet med arbeidsgiverens juridiske adresse, mottar skriftlig samtykke.
- Tilsvarende formål med å sende personlig informasjon til en tredjepart.
- En spesifikk liste over konfidensiell informasjon som ansatt er pålagt å gi samtykke til.
- Perioden hvor dette dokumentet er gyldig.
- Fremgangsmåte for å tilbakekalle en ansattes samtykke.
Trinnvise instruksjoner for å lage et dokument med eksempler
For papiret om overføring av personlig informasjon, anbefaler vi at du bruker instruksjonene nedenfor. Det er ingen spesifikke krav til utarbeidelse av dokumentet i lovgivningen, men det skal utføres skriftlig.
I begynnelsen av dokumentet angis navnet på institusjonen med stillingen som leder, i hvis navn papiret er skrevet, indeksen og den juridiske adressen til selskapet. For eksempel:
450348, Moskva, Leninsky Prospect, 3/1
Nedenfor er det nødvendig å utpeke fra hvilken avtalen: FI I.O.O. medarbeider er angitt fullt ut i genitiv saken. For eksempel Andreev Vyacheslav Gennadyevich. Kroppstekst.
På dette tidspunktet samtykker arbeidstaker til overføring av hans personlige opplysninger.
Her er angitt F.I.O. O. medarbeider med opplysninger om dokumentet som viser sin identitet og bosted.
Andreev Vyacheslav Gennadyevich
pass serie 3564 № 121227
utstedt av Institutt for interne saker "Gagarino" Moskva, Leninsky Prospect, 58-23
Bor hos adressen 454343, Moskva, Leninsky Prospect, 3/1 Teksten til dokumentet hvor medarbeideren gir samtykke.
Jeg tar en beslutning om å levere mine personopplysninger, og jeg er enig i å behandle dem fritt, i min vilje og min interesse i samsvar med føderal lov nr. 152.
Bank "Moskva" for registrering av en ikke-kontanter konto som arbeidsgiver vil overføre lønn og andre inntekter av den ansatte. En liste over handlinger med personlig informasjon med en generell beskrivelse av behandlingsmetodene som skal brukes.
For eksempel: blandet behandling (samling, systematisering, akkumulering, lagring, forfining, inkludert overføring), depersonalisering, blokkering, ødeleggelse av personopplysninger. Perioden hvor dokumentet er gyldig.
For eksempel er samtykkeperioden 5 år.
Listen over opplysninger om personen som overføres etter hans tillatelse
- fullt navn
- Antall med fødested.
- Bostedsadresse med telefonnummer.
- Sivilstand.
- Sosial stilling
- Eiendomsstatus.
- Education.
- Yrke.
- Inntekter og lønn.
- Øvrig informasjon.
Annen informasjon inkluderer arbeidstakerens passdata, arbeidserfaring, pensjonsnummer, informasjon om militærtjeneste og militære poster, etc.
konklusjon
Samtykke til behandling av personopplysninger er mye brukt i ulike institusjoner, som spenner fra kommunale organisasjoner og slutter med private selskaper. Dokumentet lar deg lovlig overføre personlig informasjon til en ansatt til en tredjepart og fungerer som bevis i tilfelle en tvist.
Personlige beskyttelsesforanstaltninger
Julia Bronskih, leder av sikkerhetsdepartementet, "John Deere Rus"
Hva er personlige data?
I utlandet er det to hovedtilnærminger til definisjonen av personopplysninger: I noen stater (Nederland, Sverige, New Zealand osv.) Identifiseres de med informasjon som er relevant for en bestemt person, i andre. Detaljering er mulig, etablering av visse kriterier for klassifisering av informasjon til kategorier (Storbritannia og andre). I Storbritannia er det ikke tillatt å samle inn data om rasemessig opprinnelse, politiske, religiøse og andre synspunkter på ansatte, deres fysiske og mentale helse, sexliv, kriminell rekord. I USA har mange stater vedtatt lover som forbyer gründere å undersøke tidligere ansatte arbeidere. I følge disse lovene må den nye arbeidsgiveren få samtykke fra kandidaten til jobben før han blir i kontakt med den tidligere arbeidsgiver.
I samsvar med arbeidskodeksen i Den Russiske Federasjon betyr personopplysninger opplysninger som er nødvendige for en arbeidsgiver i forbindelse med etablering av arbeidsforhold og knyttet til en bestemt ansatt (artikkel 85). I dette tilfellet oppretter ikke lovgiveren en liste over slik informasjon.
Dette innebærer at omfanget av informasjon og typen informasjon som utgjør den ansattes personopplysninger, bør defineres i den lokale lovgivningsloven, men innenfor grensene fastsatt av føderal lov.
Et annet dokument der karakteristikken til personopplysninger er gitt, er føderal lov nr. 152 "På personopplysninger". Det indikerer at personopplysninger er informasjon knyttet til en fysisk person bestemt på grunnlag av eller bestemt på grunnlag av det (personopplysninger). Den inneholder etternavn, fornavn, patronymic, dato, måned, år og fødested, samt adresse, familie, sosiale, eiendomsstatus, utdanning, yrke, inntekt og andre.
Obligatorisk og frivillig dataavsetning
Levering av data kan være obligatorisk og frivillig. Obligatorisk er fastsatt av føderale lover (for eksempel Federal Law No. 27-ФЗ datert 1. april 1996 "Om individuell (personligregnskapsføring i det obligatoriske pensjonsforsikringssystemet") for å beskytte grunnlaget for andre personers konstitusjonelle orden, moral, helse, rettigheter og legitime interesser og sikre forsvar lands- og statssikkerhet (listen er gitt i paragraf 2 i artikkel 9 i forbundslov "om personopplysninger").
Uten å få samtykke fra fagpersonen, kan behandlingen av hans personopplysninger utføres for å oppfylle kontrakten, en av partene han er, eller om det er nødvendig for levering av post, etc. Den komplette listen over slike unntak er gitt i artikkel 2 nr. 6 FZ № 152
Fortrolighet er ikke nødvendig for offentlig tilgjengelige personlige data. Så, nektet hovedstaden i hovedstaden, til rådgiver for Russlands president Sergey Dubik i krav mot "Civil Control" -portalen, som ifølge den offisielle ble hans personopplysninger urettmessig offentliggjort. Retten anerkjente som legitim publisering på sivilkontrollens nettsted for navn og stilling til Putins rådgiver, og dommeren hevdet at bruken av informasjon om navn og stillinger til tjenestemenn i publikasjoner ikke er et brudd på loven.
Er din bedrift operatør?
Hvis en organisasjon for eksempel overfører medarbeidsdata til en bank for å utstede et "lønn" -kort, så er det en operatør. Hvis selskapet har kunder - enkeltpersoner, så bør det også betraktes som operatør. Hvis et foretak overfører personopplysninger til andre organisasjoner, til noen personer, så er det operatøren.
Artikkel 22 i den føderale loven "På personopplysninger" tildelt operatørene plikten til å varsle autorisert organ for beskyttelse av personopplysningers rettigheter om deres intensjon om å utføre en slik prosess før behandling av personopplysninger. Meldinger må sendes skriftlig og signert av en autorisert person eller sendes elektronisk og signeres med en digital signatur. Operatører må registrere seg i personopplysningsregisteret på Roskomnadzor nettside: http://www.rsoc.ru/p582/p585/ og angi formålet personlig databehandling.
Dette kan for eksempel være personopplysninger over ansatte under en ansettelseskontrakt; utførelse av en ansettelseskontrakt personellvalg; støtte av utenlandske ansatte; markedsføring av varer på markedet; salg av reklamemuligheter; retur av tapte pass regnskap for appeller til medisinsk kontor; organisering av tilgangskontroll postutvekslingsautomatisering.
Når det gjelder begrunnelsen hvor arbeidsgiver har rett til å behandle personopplysninger uten å varsle Roskomnadzor, er de oppført i del 2 av art. 22 i den føderale lov av 27.07.2006 nr. 152-ФЗ "På personopplysninger". Spesielt kan dette gjøres dersom personopplysninger for den ansatte blir brukt i samsvar med arbeidsloven. Det er lov å behandle slike data utelukkende for å sikre overholdelse av lover og andre lovgivningsmessige rettsakter, å bistå medarbeiderne i arbeid, opplæring og forfremmelse, skape betingelser for personlig sikkerhet for personell og bevaring av organisasjonens eiendom, kvalitetskontroll av det utførte arbeidet (artikkel 86 i arbeidskodeksen i Russland).
Så det er ikke nødvendig å sende varsler om behandling av personopplysninger til Roskomnadzor når personopplysninger for ansatte behandles i samsvar med arbeidslovgivningen. Samtidig, hvis en arbeidsgiver planlegger å betale lønn til en ansatt via et bankkort eller utstede en frivillig sykeforsikringsavtale til ham innenfor rammen av et felles "lønn" -prosjekt med en bank, er slike forhold utenfor rammen av arbeidslovgivningen. I en slik situasjon er det nødvendig å sende en standardisert melding til Roskomnadzor.
Personlig databeskyttelse
På grunn av kravene i føderal lov 27. juli 2006 nr. 152-ФЗ "På personopplysninger" er enhver juridisk enhet forpliktet til å iverksette tiltak for å beskytte personopplysninger, og det har rett til å fastsette listen over slike tiltak uavhengig.
Tiltak for beskyttelse av personopplysninger kan deles inn i to store undergrupper: intern og ekstern beskyttelse av personopplysninger.
Tiltakene for intern beskyttelse av personopplysninger omfatter følgende tiltak:
• begrense antall ansatte (med regulering av stillinger) som er åpne for tilgang til personopplysninger. Hvem kan inkludere denne listen? Absolutt alle som har tilgang til personlige saker, det vil si personellavdelingspersonell eller de som er ansvarlige for personellregistrering -
ansatte, bokførere, sekretærer, kontorist, spesialister som inngår kontrakter med enkeltpersoner, samt ingeniører, programmører, advokater;
• utnevnelse av ansvarlig person som sikrer organisasjonens overholdelse av lovgivningen på dette området;
• godkjenning av listen over dokumenter som inneholder personopplysninger;
• publisering av interne dokumenter om beskyttelse av personopplysninger, overvåking av overholdelse av dem;
• bekreftelse av ansatte med gjeldende forskrifter innen personvern og lokale handlinger; gjennomføre systematisk kontroll av relevant kunnskap om ansatte som behandler personopplysninger og deres overholdelse av kravene i reguleringsdokumenter om beskyttelse av konfidensiell informasjon. Det bør tas i betraktning at alle ansatte som har tilgang til personopplysninger fra andre mennesker, bør være kjent med særegenheter i lovgivningen når det gjelder beskyttelse av personopplysninger.
• rasjonell plassering av arbeidsplasser for å forhindre uautorisert bruk av beskyttet informasjon
• godkjenning av listen over personer som har rett til å få tilgang til lokalene der personopplysninger er lagret;
• godkjenning av prosedyren for ødeleggelse av informasjon;
• Deteksjon og eliminering av brudd på krav til personopplysninger;
• gjennomføre forebyggende arbeid med ansatte for å hindre at de avslører personlige data.
Blant tiltakene for ekstern beskyttelse av personopplysninger er følgende:
• Innføring av tilgangskontroll, prosedyren for mottak og registrering av besøkende;
• Innføring av tekniske beskyttelsesmidler, programvarebeskyttelse av informasjon på elektroniske medier etc.
Til tross for at loven ikke fastlegger spesifikke krav til antall og innhold av lokale handlinger som er vedtatt av organisasjonen om behandling og beskyttelse av personopplysninger, har praksis med å implementere denne normative handlingen dannet det nødvendige minimum av dokumenter som skal utvikles av selskapet:
• Et felles dokument som bestemmer selskapets politikk i forhold til behandling av personopplysninger, for eksempel en bestemmelse om personopplysninger;
• liste over personer som behandler personopplysninger;
• En ordre som utpeker en ansatt som er ansvarlig for å organisere behandling av personopplysninger. Den spesifiserte personen bør utøve intern kontroll over selskapets og dets ansatte i samsvar med lovgivningen om personopplysninger, herunder kravene til beskyttelse, informere personalet om bestemmelsene i lovgivningen om personopplysninger, lokale handlinger i forbindelse med behandlingen, samt kravene til beskyttelse av slike opplysninger, organisere mottak og behandling av forespørsler og forespørsler fra personopplysninger og (eller) kontrollere mottak og behandling av slike forespørsler og forespørsler;
• En bestemmelse om juridiske, organisatoriske og tekniske tiltak for å beskytte personopplysninger mot ulovlig eller utilsiktet tilgang til dem, ødeleggelse, endring, blokkering, kopiering, formidling, formidling og andre ulovlige handlinger i forbindelse med personopplysninger. I denne bestemmelsen anbefales det å foreskrive spesifikke tiltak for beskyttelse av personopplysninger (innføring av tilgangskontroll, bruk av programvare for å beskytte informasjon - passord, antivirusprogrammer, lagring av personopplysninger separat fra annen informasjon, på separate materielle medier og i spesialutviklede lokaler med begrenset tilgang, etc. d).;
• En lokal handling som etablerer prosedyrer for å hindre og oppdage brudd på loven innen personvern, og eliminere konsekvensene av slike brudd. For eksempel kan et selskap utvikle en handlingsplan for intern kontroll av personopplysninger, instruksjoner om hvordan å gjennomføre en intern etterforskning i brudd på loven innen personvern, holde antiviruskontrolllogger og kontrollere arbeid med personopplysninger, treningslogg, instruksjon og sertifisering personopplysninger.
Andre organisatoriske og tekniske tiltak for å beskytte personopplysninger
Det bør også tas hensyn til organisatoriske og tekniske tiltak for å beskytte personopplysninger. Her er hva deres liste kan se ut:
• godkjenning av krav til rommet der personopplysninger er lagret
Det bør tas i betraktning at de ikke er etablert ved lov. Men hvis vi går videre fra eksisterende liknende lover, ta hensyn til bestemmelsene i Russlands arbeidskodeks for å unngå uautorisert tilgang til personopplysninger på papir, er det nødvendig å utstyre rommet der de er lagret med skap. Den lokale lovgivningen bør fastslå kravene til lokalene der personopplysninger er lagret, samt utstede en ordre som definerer lokalene der personopplysninger behandles, og godkjenner listen over personer som er autorisert til å reise dit.
• Sikre programvarebeskyttelse av organisasjonens informasjonssystem. Ved bruk av elektroniske systemer for behandling av personopplysninger, er det nødvendig å ta hensyn til kravene til sikring av sikkerheten til slike data som fremgår av forskriften om sikkerheten til personopplysninger når de behandles i personopplysninger. Dette inkluderer begrensende tilgang til bestemt informasjon i informasjonssystemer (for eksempel innstilling av passord, etc.). Det er også tilrådelig å begrense tilgangen til elektroniske databaser som inneholder personopplysninger for aksjonærene ved hjelp av et tosidig passordsystem: på det lokale nettverket og på databasenivå. Passordene bør settes av henholdsvis databaseadministrator og nettverksadministrator og kommuniseres individuelt til ansatte som har tilgang til personlige data, og de bør endres så ofte som mulig (for eksempel månedlig);
• å holde en logg med arbeidet med personopplysninger. For å overholde den konfidensielle arbeidsformen med personopplysninger, er det tilrådelig å beholde et register over utstedelse av personopplysninger til andre personer, organisasjoner og myndigheter. Det bør registrere innkommende forespørsler, samt registrere opplysninger om personen som sendte forespørselen, datoen for overføring av personopplysninger eller det faktum at det ble meldt om nektet å gi dem, samt notat hvilken informasjon som ble overført.
Overføring av personopplysninger til tredjepart
Det er mange årsaker til overføring av personopplysninger til tredjeparter - inngåelse av kontrakter for tilleggsforsikring, innhenting av "lønn" bankkort mv. Hvis organisasjonen er stor - flere tusen ansatte, kan det hende at det er mye å skaffe seg samtykke til behandling av personopplysninger fra hver av dem. av tiden. Og arbeiderne selv vil ikke være fornøyd med dette. Dermed oppstår spørsmålet: Er det mulig å løse dette problemet på forhånd ved å inkludere denne klausulen i ansettelseskontrakten?
Fra min egen erfaring vil jeg si at det i alle fall er nødvendig å samle samtykke til dataoverføring fra alle. Selvfølgelig kan den relevante klausulen inngå i ansettelseskontrakten, men det vil fortsatt være nødvendig å oppfylle kravet om å få samtykke fra den ansatte. Og det blir lettere å utstede dette samtykket separat.
Foreta en kollektiv avtale med ansatte og oppgi alle de tredjepartene som personopplysninger skal overføres til, angi navn, adresse, formål med å overføre data til dem, inkludert en liste over deres mulige handlinger med personopplysninger og angi hvor lenge de skal behandle disse dataene. Alle ansatte vil signere - og saken vil bli stengt.
Hvilke kontrollorganer har rett til å be om personlige data
Rettsteder og andre rettshåndhevelsesbyråer kan fritt motta fra selskapers personopplysninger av ansatte, kunder eller entreprenører uten samtykke fra sistnevnte. Men svaret på spørsmålet om andre tilsynsstrukturer har lignende rettigheter, og hvilke som må finnes ikke bare i lovene, men også i rettslig praksis.
Den niende voldgiftsdomstolen i sin beslutning av 25. juni 2009 i tilfelle nr. A40-76345 / 08-122-112 indikerte således at et medlem av fogedistribusjonen ikke har rett til å be om og motta opplysninger som inneholder personopplysninger fra borgerne. Spesielt bemerket retten at hverken den føderale lov av 21. juli 1997 nr. 118-FFB "På Fogeder" eller Føderalloven av 02.01.2007 nr. 229-FFB "På håndhevelse" ikke gir fogederne rett til å motta personopplysninger uten samtykke fra fagene deres, ikke fastslå vilkårene for å skaffe seg slike data, ikke definere omfanget av fag som personopplysninger er underlagt, samt faksjonenes rett til å behandle dem.
Grenseoverskridende overføringer
Hvis bedriften din overfører personopplysninger til et annet land, oppstår det problemet med å beskytte personopplysninger under deres grenseoverskridende bevegelser.
Hva er grenseoverskridende dataoverføring? Dette er overføring av personopplysninger fra operatøren over Russlands føderasjonsgrense til en myndighet, en fysisk eller juridisk person i en utenlandsk stat. I Russland er et av kriteriene for å vurdere en stat med sikte på å organisere et tilstrekkelig beskyttelsesnivå, det faktum at den ratificerer Konvensjonen for beskyttelse av personers rettigheter i automatisert behandling av personopplysninger av 28. januar 1981, ETS nr. 108.
Før overføringen begynner, må operatøren sikre at rettighetene til personopplysningene er tilstrekkelig beskyttet på en utenlandsk stats territorium.
Stikkpunktet er ordlyden "tilstrekkelig beskyttelse", siden kriteriene for tilstrekkelighet ikke er definert hvor som helst, mens sunn fornuft tyder på at beskyttelse som er i samsvar med russisk lovgivning kan anses som tilstrekkelig.
Tiltredelse av en utenlandsk stat til konvensjonen for beskyttelse av personer i den automatiserte behandlingen av personopplysninger (Strasbourg, 1981, med endringer i 1999) gjør det mulig å rangere det blant de som garanterer ganske tilstrekkelig beskyttelse. Men for eksempel ratifiserte USA ikke denne konvensjonen. Det er et slikt program U.S. - EU Safe Harbor. Det regulerer relasjoner bare mellom EU og USA. Vi går ikke inn i EU. I USA er det ingen lovgivning som regulerer personopplysninger. Det er bare omtale i statens lover om såkalt privatliv (http://www.oecd.org/internet/interneteconomy/oecdgu idelinesontheprotectionofprivacyandtransborderfl owsofpersonaldata.htm).
For å underbygge tilstrekkigheten til personlig databeskyttelse når de overføres til en utenlandsk filial i et selskap, er det nødvendig å gjennomføre en rekke aktiviteter, inkludert utvikling av et dokument (eller flere) som reflekterer følgende hovedpunkter:
• Generelle bestemmelser (organisasjonsstruktur for selskapet, land (land) som personopplysninger overføres, formålet med overføringen og
personlig databehandling i utlandet);
• rettslig begrunnelse for overføring av personopplysninger over landegrensene (en liste over regelverksdokumenter på grunnlag av hvilke personopplysningene overføres og behandles)
• beskrivelse av beskyttelsesobjektet;
• Egenskaper for overførte personopplysninger (kategorier av personopplysninger sendt til utlandet, kategorier av personopplysninger, databehandlingsmetoder: automatisert, ikke-automatisert, blandet);
• forskrifter for å sikre sikker informasjonsutveksling av personopplysninger med utenlandske filialer (representasjonskontorer) (beskrivelse av personopplysningssystemer som de overføres fra, samt SPD, hvor de overføres, overføring av datakanaler, standarder og dataoverføringsprotokoller, etc.). Beskrivelse av tiltak og midler for å sikre beskyttelse av overførte data (organisatoriske tiltak, tekniske midler for å beskytte informasjon, inkludert kryptografisk);
• sammensetningen av lovgivningen i en utenlandsk stat, som reflekterer spørsmålene om personopplysninger;
• Avsluttende bestemmelser (forpliktelser fra en utenlandsk filial til å overholde lovgivningen om behandling av personopplysninger i landet der den er lokalisert, for å sikre passende beskyttelse av mottatte og behandlede personopplysninger, sertifisert ved underskrift av ansvarlige personer i foreldreorganisasjonen og en utenlandsk filial).
Disse tiltakene vil muliggjøre å minimere risikoen for realisering av trusler mot personopplysninger under deres grenseoverskridende overføring, og øke tjenestemenns ansvar for å overholde fastsatte informasjonssikkerhetsstandarder.
Hvor mye å lagre?
Tjenestevilkårene for personopplysninger fjernes i tilfelle av depersonalisering eller etter en lagringsperiode på 75 år, med mindre annet er angitt i loven.
Ifølge føderal lov 152 må personopplysninger ødelegges av operatøren når målet er å behandle det. Og for eksempel må primære dokumenter på personaldata og lønn holdes i 75 år. Men de må holdes i arkivet, og FZ-152 gjelder ikke for arkivet i henhold til arkivloven. Etter at dokumentene er levert til arkivet, kan organisasjonen ikke lenger lagre denne informasjonen i seg selv.
Med hensyn til sykefravær gjelder dette emnet. For eksempel, hvis arbeidstakerne sluttet, hadde han ikke tid til å komme i gang igjen og ble syk, da ble syklisten beregnet på grunnlag av sin inntekt fra siste arbeidsplass. I samsvar med skattelovgivningen må en organisasjon beholde alle finansdokumenter de siste fem årene for en skattemessig revisjon. Videre beregnes oppbevaringsperioden fra begynnelsen av det nye regnskapsåret eller datoen saken overføres til arkivet, og dette skjer også i slutten av året. Og forresten, opptil fem år er det lov til å lagre dokumenter i organisasjonen uten å overføre dem til arkivet.
Bekreftelse av Russlands regjering den 1. november 2012 nr. 1119 "Ved godkjenning av krav til beskyttelse av personopplysninger når de behandles i personopplysninger"
Så, oppløsningen av Russlands regjering i 2007 nr. 781 er blitt ugyldig. Det nye dekret nr. 1119 fusjonerer to prosjekter, hvorav det ene definerer nivået på sikkerheten til informasjon som inneholder personopplysninger, og det andre kravet til sikkerhet. For mer informasjon om teksten til dokumentet, besøk www.government.ru. Faktisk har liten endret seg. Samme overensstemmelsesvurdering, samme uforståelige elektroniske tidsskrift, samme krav til godkjenning av listen over autoriserte personer, etablering av sikkerhetsregime i lokalene, samme referanse til FSTECs og FSBs reguleringsdokumenter. Dekretet bestemmer at operatøren skal velge settet av beskyttelsesutstyr uavhengig, basert på tidligere vedtatte forskrifter fra FSB og FSTEC.
Ifølge dokumentet er de nåværende truslene mot sikkerheten til personopplysninger betingelsene og faktorene som skaper den potensielle faren for uautorisert tilgang til databaser under behandlingen, noe som resulterer i at data kan bli ødelagt, endret, blokkert eller gitt til tredjeparter som ikke har tilgang til dem.. I tillegg definerer oppløsningen tre typer trusler mot informasjonssystemer som inneholder brukerdatabaser, samt fire nivåer av informasjonssikkerhet.
Punkt 13 i resolusjon nr. 1119 krever at i sikkerhetsmodusene i de lokaler der personopplysninger behandles, er det gitt det fjerde sikkerhetsnivået. Når dette dokumentet er oppfylt, blir det nesten umulig å bruke mobile enheter til behandling av personlige data utenfor lokalene der sikkerheten er gitt. Følgelig er bruken av trafikkpolitifolk, tollembedsmenn eller legertabletter og smarttelefoner utenfor deres kontorer også ulovlig.
Nå er det ingen detaljert klassifisering av trusler, så vi utfører sin vurdering uavhengig av hverandre og angir et passende beskyttelsesnivå for å nøytralisere dem. For å sikre det nødvendige sikkerhetsnivået, er det nødvendig å implementere en rekke organisatoriske og tekniske tiltak for valg av informasjonssikringsverktøy, og dette bør gjøres, med fokus på dokumentene til FSB og FSTEC.
Er det noen begrensninger på bruken av beskyttelsesutstyr for ulike sikkerhetsnivåer? Dette spørsmålet er ikke beskrevet i Federal Law-152 eller i RF-regjeringens dekret nr. 1119.