Regelgeving over het bijhouden van een register van operators die persoonsgegevens verwerken. Register van exploitanten van persoonlijke gegevens van Roskomnadzor

Wettelijke vereisten voor de exploitant van persoonsgegevens

De exploitant is verplicht om de vertrouwelijkheid van persoonsgegevens te waarborgen. Artikel 7 van de federale wet van de Russische Federatie van 27 juli 2006 N 152-FZ "Over persoonsgegevens" (hierna FZ-152) zegt dat de exploitant niet verplicht is om persoonlijke gegevens te beschermen als deze geanonimiseerd of openbaar beschikbaar zijn. De beheerder van persoonsgegevens heeft geen recht om gegevens te verwerken zonder de toestemming van het onderwerp van persoonsgegevens, dat wil zeggen de persoon aan wie deze gegevens toebehoren. Echter, in art. 6 Deel 2 van FZ-152 voorziet in een aantal gevallen waarin de toestemming van de proefpersoon niet vereist is.
In het bijzonder is de toestemming van de betrokkene niet vereist als zijn persoonsgegevens worden verwerkt op basis van de federale wet, die het doel en de inhoud van een dergelijke verwerking bepaalt (artikel 6, lid 2, deel 2). Volgens federale wet nr. FZ-3266-1 "On Education" hoeven afgestudeerden van instellingen voor secundair onderwijs bijvoorbeeld geen toestemming te vragen voor de verwerking van hun persoonlijke gegevens om te worden toegelaten tot het Unified State Examination. Instanties en organisaties die betrokken zijn bij de uitvoering van het eengemaakte staatsexamen voeren "... overdracht, verwerking en verstrekking van informatie ontvangen in verband met het eengemaakte staatsexamen uit<…>persoonsgegevens van studenten, deelnemers aan het verenigd staatsexamen<…>in overeenstemming met de vereisten van de wetgeving van de Russische Federatie op het gebied van persoonsgegevens zonder de toestemming van deze personen te verkrijgen voor de verwerking van hun persoonsgegevens” (Artikel 15, clausule 5.1). In het aprilnummer van het tijdschrift Personal Data staat een groot artikel gewijd aan dit specifieke probleem.
Een ander geval waarbij de toestemming van de proefpersoon niet vereist is voor de verwerking van persoonsgegevens: de uitvoering van een overeenkomst, waarbij een van de partijen het voorwerp uitmaakt van persoonsgegevens. Elk contract tussen een bedrijf en een persoon voor het leveren van diensten is bijvoorbeeld geschikt. Veel nuttige informatie over dit onderwerp is te vinden in de gespecialiseerde pers. De exploitant moet ook de nodige organisatorische en technische maatregelen treffen om pogingen tot illegale toegang tot persoonsgegevens te voorkomen.

Vereiste documenten

Elke beheerder van persoonsgegevens is verplicht over een pakket documenten te beschikken die de veiligheid van de persoonsgegevens van medewerkers en klanten bevestigen.

De lijst met vereiste documenten kan variëren, afhankelijk van de specifieke kenmerken van de verwerking van persoonsgegevens, de organisatiestructuur en andere kenmerken van elke afzonderlijke onderneming.

Overeenkomstig dit documentenpakket moet de onderneming technische middelen invoeren om persoonsgegevens te beschermen.

Voorbereiding van documenten die nodig zijn voor de bescherming van persoonsgegevens

Er zijn verschillende manieren om documenten op te stellen in overeenstemming met de vereisten van 152-FZ "Over persoonsgegevens":

Middelen van bescherming

Vrijwel elke organisatie heeft een persoonsgegevens-informatiesysteem (afgekort als ISPDn), waarin bijvoorbeeld de achternaam, voornaam van de medewerker, zijn paspoortgegevens, TIN, etc. kunnen staan. De exploitant werkt met dit informatiesysteem. Afhankelijk van welke gegevens in de ISPD van een bepaalde organisatie staan, kan deze ISPD tot een van de vier klassen behoren, die elk voorzien in verschillende middelen om persoonsgegevens te beschermen.

zie ook

Links

• www.rsoc.ru Register van operators die persoonsgegevens verwerken
• www.pd.rsoc.ru Portaal voor persoonlijke gegevens van de bevoegde instantie voor de bescherming van de rechten van personen met persoonlijke gegevens
• www.privacy-journal.ru Informatie- en analytisch tijdschrift "Persoonlijke gegevens"

Wikimedia Stichting. 2010 .

Zie wat "Personal Data Operator" is in andere woordenboeken:

Exploitant van persoonlijke gegevens- 2) de exploitant is een overheidsinstantie, gemeentelijk lichaam, rechtspersoon of natuurlijke persoon, zelfstandig of samen met andere personen die de verwerking van persoonsgegevens organiseren en (of) uitvoeren, evenals het bepalen van de doeleinden van de verwerking ... .. . officiële terminologie

Elke actie (bewerking) of reeks acties (bewerkingen) uitgevoerd met of zonder het gebruik van automatiseringstools met persoonlijke gegevens, inclusief verzameling, registratie, systematisering, accumulatie, opslag, ... ... Wikipedia

Het onderwerp van persoonsgegevens is een natuurlijke persoon die direct of indirect wordt geïdentificeerd of bepaald aan de hand van persoonsgegevens. Inhoud 1 Interactie met het onderwerp persoonsgegevens ... Wikipedia

Een reeks maatregelen van technische, organisatorische en organisatorische technische aard gericht op het beschermen van informatie met betrekking tot een specifieke of bepaalde op basis van dergelijke informatie aan een persoon (het onderwerp van persoonlijke ... ... Wikipedia

Dit artikel of onderdeel beschrijft de situatie met betrekking tot slechts één regio. U kunt Wikipedia helpen door informatie voor andere landen en regio's toe te voegen. Inhoud 1 Definitie ... Wikipedia

Nummer: 152 FZ Vaststelling: door de Doema op 26 juli 2006 Inwerkingtreding: 26 januari 2007 Federale wet van de Russische Federatie van 27 juli 2006 Nr. 152 FZ “Over persoonsgegevens” federale wet die verwerkingsactiviteiten regelt (gebruik ... Wikipedia

Basismodel van bedreigingen voor de beveiliging van persoonsgegevens tijdens hun verwerking, in informatiesystemen van persoonsgegevens (uittreksel)- Terminologie Het basismodel van bedreigingen voor de beveiliging van persoonsgegevens tijdens hun verwerking, in informatiesystemen voor persoonsgegevens (uittreksel): Een geautomatiseerd systeem is een systeem dat bestaat uit personeel en een reeks automatiseringstools ervoor ... ...

RECHTEN VAN PERSOONLIJKE GEGEVENS DIE BESLISSINGEN NEMEN OP BASIS VAN UITSLUITEND GEAUTOMATISEERDE VERWERKING VAN HUN PERSOONSGEGEVENS- volgens de federale wet "Over persoonsgegevens" van 27 juli 2006 nr. 152 FZ, bestaan ​​ze in het verbieden van de goedkeuring, uitsluitend gebaseerd op geautomatiseerde verwerking van persoonsgegevens, van beslissingen die aanleiding geven tot juridische gevolgen met betrekking tot .. ... ...

operator- 4.22 operator elk object dat de werking van het systeem uitvoert. Opmerking 1 bij de opmerking: de rol van operator en gebruiker kunnen gelijktijdig of na elkaar aan dezelfde persoon of organisatie worden toegewezen. Noot 2 In het kader van deze… … Woordenboek-referentieboek met termen van normatieve en technische documentatie

BEDIENER- volgens de federale wet "On persoonlijke gegevens" van 27 juli 2006 nr. 152 FZ, - een overheidsinstantie, gemeentelijk lichaam, rechtspersoon of persoon die de verwerking van persoonsgegevens organiseert en / of uitvoert, evenals het bepalen van de doelen ... Kantoorwerk en archivering in termen en definities

Het werken met persoonsgegevens legt een aantal verplichtingen op aan de exploitant. Laten we eens kijken naar enkele van de belangrijkste ervan.

Roskomnadzor op de hoogte stellen van het begin van de verwerking van persoonsgegevens (). Een dergelijke kennisgeving moet naar het kantoor worden gestuurd voordat de verwerking van de gegevens begint, met vermelding van:

• naam (volledige naam), adres van de exploitant;
• doel van de verwerking van persoonsgegevens;
• categorieën van persoonsgegevens;
• categorieën van onderwerpen van wie persoonsgegevens worden verwerkt;
• rechtsgrondslag voor de verwerking van persoonsgegevens;
• een lijst van acties met persoonsgegevens, een algemene beschrijving van de methoden die de exploitant gebruikt om persoonsgegevens te verwerken;
• maatregelen ter bescherming van persoonsgegevens;
• volledige naam van de natuurlijke persoon of de naam van de rechtspersoon die verantwoordelijk is voor het organiseren van de verwerking van persoonsgegevens, en hun telefoonnummers, postadressen en e-mailadressen;
• datum van aanvang van de verwerking van persoonsgegevens;
• de termijn of voorwaarde voor het beëindigen van de verwerking van persoonsgegevens;
• gegevens over de aan- of afwezigheid van grensoverschrijdende doorgifte van persoonsgegevens tijdens de verwerking ervan;
• informatie over de locatie van de database met informatie die persoonlijke gegevens van Russen bevat;
• informatie over het waarborgen van de beveiliging van persoonsgegevens in overeenstemming met de vereisten voor de bescherming van persoonsgegevens die zijn vastgesteld door de regering van de Russische Federatie (we hebben het met name over persoonsgegevens die afhankelijk zijn van veiligheidsrisico's, persoonsgegevens waarvan de uitvoering zorgt voor de vastgestelde niveaus van bescherming van persoonsgegevens, evenals over en technologieën voor het opslaan van dergelijke gegevens buiten informatiesystemen voor persoonsgegevens).

Tegelijkertijd zijn er situaties waarin het niet nodig is om Roskomnadzor op de hoogte te stellen van de verwerking van persoonsgegevens. Dit is bijvoorbeeld de verwerking van werknemersgegevens door de werkgever, de ontvangst door de exploitant van de gegevens van de opdrachtgever bij het sluiten van een overeenkomst met hem (indien deze gegevens niet zonder toestemming van de betrokkene aan derden worden verstrekt en uitsluitend worden gebruikt om de gespecificeerde overeenkomst na te komen), de verwerking van openbaar beschikbare persoonsgegevens, het verstrekken van een enkele pas aan een persoon op het grondgebied van de exploitant, het gebruik van alleen de volledige naam van het onderwerp, enz. ().

Zorg voor de vertrouwelijkheid van persoonsgegevens. Dit betekent dat het onmogelijk is om ze te verspreiden zonder de toestemming van het onderwerp (). Deze verplichting van personen die toegang hebben gekregen tot persoonsgegevens is een van de belangrijkste. In het bijzonder is de werkgever bij de doorgifte van persoonsgegevens van werknemers verplicht om:

• de persoonsgegevens van de werknemer niet zonder zijn schriftelijke toestemming aan een derde verstrekken (behalve wanneer dit nodig is om een ​​bedreiging voor het leven en de gezondheid van de werknemer te voorkomen, en in andere gevallen waarin de wet voorziet - bijvoorbeeld bij het doorgeven van gegevens aan de FSS, FIU, belastingautoriteiten, militaire commissariaten, parket, wetshandhavingsinstanties, GIT, enz.);
• om personen die de persoonsgegevens van de werknemer ontvangen te waarschuwen dat deze informatie alleen mag worden gebruikt voor de doeleinden waarvoor ze zijn gemeld - bovendien kan de werkgever zelfs van deze personen verlangen dat ze bevestigen dat deze regel is nageleefd;
• het doorgeven van persoonsgegevens van een werknemer binnen dezelfde organisatie, van één individuele ondernemer conform de lokale regelgeving, waarmee de werknemer bekend moet zijn met de handtekening;
• toegang tot persoonlijke gegevens van werknemers alleen toe te staan ​​aan speciaal geautoriseerde personen, en zij zouden het recht moeten hebben om alleen die werknemersgegevens te ontvangen die nodig zijn om specifieke functies uit te voeren;
• geen informatie te vragen over de gezondheidstoestand van een werknemer, met uitzondering van informatie die betrekking heeft op de vraag of de werknemer een arbeidsfunctie kan uitoefenen;
• de informatie die aan werknemersvertegenwoordigers wordt doorgegeven, beperken tot alleen die werknemersgegevens die nodig zijn voor de gespecificeerde vertegenwoordigers om hun functies uit te voeren ().

Maatregelen nemen om de beveiliging van persoonsgegevens te waarborgen (). Om dit te doen, moet de organisatie een persoon aanwijzen die verantwoordelijk is voor het organiseren van de verwerking van persoonsgegevens (). Een dergelijke persoon is verplicht om interne controle uit te oefenen op de naleving door de exploitant en zijn werknemers van de vereisten voor de bescherming van persoonsgegevens, onder de aandacht van werknemers te brengen de bepalingen, lokale handelingen inzake de verwerking van persoonsgegevens, en ook de ontvangst te organiseren en verwerking van beroepen en verzoeken van persoonsgegevens. Bovendien moeten voor dezelfde doeleinden technische maatregelen worden toegepast om de veiligheid van de verwerking te waarborgen, evenals documenten die het beleid van het bedrijf met betrekking tot de verwerking van persoonsgegevens definiëren, enz.

Tegelijkertijd moet de organisatie het beleid voor de verwerking van persoonsgegevens openbaar maken (). De beste manier is om het document op de website van de exploitant te plaatsen. Maar in het geval dat dit niet mogelijk is, volstaat het om een ​​"pocket" met een polis op papier te installeren op elke plaats die toegankelijk is voor bezoekers van de organisatie. De uitzondering zijn operators die persoonlijke gegevens rechtstreeks via internet verzamelen - ze moeten het beleid op de site publiceren en toegang verlenen tot het gespecificeerde document. Op de officiële website van Roskomnadzor vindt u aanbevelingen voor het opstellen van een beleid met betrekking tot de verwerking van persoonsgegevens.

Verwar het beleid, dat voornamelijk van toepassing is op derden (tegenpartijen, klanten, enz.), niet met de verordening betreffende de bescherming, opslag, verwerking en overdracht van persoonlijke gegevens van werknemers - dit document is, in tegenstelling tot het beleid, een lokale regelgevende handelen, dus het openbaar maken ervan is niet nodig, maar het is noodzakelijk om ermee vertrouwd te raken tegen de handtekening van de werknemers ().

VERWANTE MATERIALEN

Lees in ons materiaal "" welke problemen de exploitant kan tegenkomen bij het voldoen aan de vereisten voor de lokalisatie van persoonlijke gegevens en hoe deze het meest effectief kunnen worden opgelost.

Voldoen aan de vereisten voor de lokalisatie van persoonlijke gegevens van Russen. Vanaf 1 september 2015 zijn alle operators verplicht om bij het verzamelen van persoonlijke gegevens ervoor te zorgen dat ze worden verwerkt met behulp van databases in Rusland (). De zogenaamde lokalisatie van persoonsgegevens veroorzaakte aanvankelijk veel weerklank bij specialisten en operators - de eisen van de wet waren zo geformuleerd dat experts veel problemen hadden. Onder hen is er onduidelijkheid over op welke persoonsgegevens deze eis van toepassing zal zijn, op welke operators het van invloed is, of het is toegestaan ​​om persoonsgegevens gelijktijdig op een Russische en buitenlandse server te verwerken, hoe het staatsburgerschap van een onderwerp kan worden bepaald, enz. Roskomnadzor beantwoordde de meeste van deze vragen zelfs vóór de inwerkingtreding van de nieuwe vereisten van de wet. Zo verleende het bureau exploitanten bijvoorbeeld het recht om onafhankelijk te beslissen over de kwestie van het bepalen van het staatsburgerschap van de persoon van wie de gegevens worden verwerkt, of om de lokalisatievereiste toe te passen op de persoonsgegevens van alle subjecten. Bovendien verduidelijkte Roskomnadzor dat in het geval dat persoonsgegevens tijdens het verzamelen in de Russische database zijn vastgelegd, deze later kunnen worden verwerkt in een elektronische database die zich buiten het land bevindt.

Zowel in het beleid voor de verwerking van persoonsgegevens als in de Regeling voor de bescherming, opslag, verwerking en overdracht van persoonsgegevens van werknemers moet worden vermeld dat de exploitant zich bij het verzamelen van persoonsgegevens verplicht om te zorgen voor de registratie, systematisering, accumulatie, opslag, verduidelijking ( bijwerken, wijzigen), extractie van persoonlijke gegevens Russen met behulp van databases die zich op het grondgebied van Rusland bevinden, evenals de locatie van een dergelijke database aangeven.

Stop de verwerking van persoonsgegevens tijdig. Als het doel van de verwerking van persoonsgegevens is bereikt of de betrokkene zijn toestemming voor de verwerking ervan heeft ingetrokken, moet de exploitant stoppen met de verwerking van deze gegevens en ze binnen 30 dagen verwijderen, tenzij in de overeenkomst een andere termijn is bepaald ().

Hoe de verwerking van persoonsgegevens van medewerkers te organiseren. Register van exploitanten van persoonlijke gegevens van Roskomnadzor. Hoe de werknemer toestemming krijgt voor de verwerking van zijn persoonsgegevens.

Vraag: Is MUP verplicht om zich te registreren in het register van exploitanten van persoonsgegevens van Roskomnadzor en om een ​​reeks documenten over de bescherming van persoonsgegevens te ontwikkelen?

Antwoord: Ja, MUP is verplicht om zich te registreren in het register van exploitanten van persoonsgegevens en om een ​​reeks documenten over de bescherming van persoonsgegevens te ontwikkelen, als MUP werknemers in dienst heeft en MUP hun persoonsgegevens verwerkt of MUP persoonsgegevens van verschillende personen (klanten , partner).

reden

Hoe de verwerking van persoonsgegevens van medewerkers te organiseren

Het concept van persdata

Welke persoonsgegevens van een medewerker kan de organisatie verkrijgen?

Openbare persoonsgegevens

Vraag uit de praktijk: welke persoonsgegevens worden als openbaar beschouwd

Openbaar beschikbare informatie is algemeen bekende informatie en andere informatie, waartoe de toegang niet beperkt is. Dergelijke informatie kan door elke persoon naar eigen goeddunken worden gebruikt, met inachtneming van wettelijke beperkingen op de verspreiding ervan. Dit staat vermeld in de paragrafen, artikel 7 van de wet van 27 juli 2006 nr. 149-FZ.

Openbaar beschikbare persoonsgegevens - gegevens die het onderwerp van persoonsgegevens openbaar heeft gemaakt. Openbaar beschikbare persoonsgegevens kunnen informatie bevatten die beschikbaar is voor een onbeperkte kring van personen (bijvoorbeeld gegevens uit open directory's, adresboeken, enz.).

Omdat iedereen er toegang toe heeft, hebben ze geen speciale bescherming meer nodig.

Bij het verwerken van dergelijke gegevens hoeft de exploitant de bevoegde instantie voor de bescherming van de rechten van de persoonsgegevens niet op de hoogte te stellen (artikel 4, deel 2, artikel 22 van de wet van 27 juli 2006 nr. 152-FZ).

Toestemming voor de verwerking van persoonsgegevens

Hoe krijgt u toestemming van de werknemer voor de verwerking van zijn persoonsgegevens

In het kader van werkzaamheden dient de werkgever persoonsgegevens van werknemers te verwerken. De verwerking van dergelijke gegevens, met uitzondering van individuele gevallen, vindt alleen plaats met schriftelijke toestemming van de medewerkers. De toestemming moet de volgende informatie bevatten:

• achternaam, voornaam, patroniem, adres van de werknemer, gegevens van het paspoort (ander document waaruit zijn identiteit blijkt), inclusief informatie over de datum van afgifte van het document en de instantie van afgifte;

• de naam of achternaam, voornaam, patroniem en adres van de werkgever (uitvoerder) die de toestemming van de werknemer ontvangt;
• doel van de verwerking van persoonsgegevens;
• een lijst van persoonsgegevens voor de verwerking waarvan toestemming wordt gegeven;
• de voor- of achternaam, voornaam, patroniem en adres van de persoon die in opdracht van de werkgever persoonsgegevens verwerkt, indien de verwerking aan een dergelijke persoon is toevertrouwd;
• een lijst van acties met persoonsgegevens waarvoor toestemming is gegeven, een algemene beschrijving van de methoden die de werkgever gebruikt om persoonsgegevens te verwerken;
• de periode waarin de toestemming van de werknemer geldig is, evenals de wijze van intrekking, tenzij anders bepaald door de federale wetgeving;
• handtekening van de werknemer.

Deze eisen zijn uiteengezet in paragraaf 4.

Als een werknemer arbeidsongeschikt is, wordt de schriftelijke toestemming voor de verwerking van zijn persoonsgegevens gegeven door zijn wettelijke vertegenwoordiger: ouder, voogd (deel 6 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ).

Een werknemer kan te allen tijde zijn toestemming voor de verwerking van zijn persoonsgegevens intrekken door een vrijblijvende reactie naar de werkgever te sturen. In een dergelijke situatie heeft de organisatie het recht om zonder toestemming van de werknemer persoonsgegevens te blijven verwerken, met inachtneming van de beperkingen vermeld in clausules 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de wet van 27 juli 2006 nr. 152-FZ, bijvoorbeeld om recht te spreken of het leven (gezondheid) van de werknemer zelf te beschermen. Dit staat vermeld in deel 2 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ.

Opgemerkt moet worden dat in geval van betwisting de verplichting om te bewijzen dat de werknemer zijn toestemming voor de verwerking van zijn persoonsgegevens heeft ontvangen, bij de werkgever rust (deel 3 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ).

Met toestemming van de werknemer heeft de organisatie ook het recht om de verwerking van persoonsgegevens aan een andere persoon toe te vertrouwen (deel 3 van artikel 6 van de wet van 27 juli 2006 nr. 152-FZ). In dit geval zal de werkgever nog steeds verantwoordelijk zijn jegens de werknemer voor de acties van de gespecificeerde persoon, en de persoon die persoonsgegevens verwerkt namens de werkgever zal rechtstreeks verantwoordelijk zijn jegens de werkgever (deel 5 van artikel 6 van de wet van juli 27, 2006 nr. 152-FZ).

Opgemerkt moet worden dat de werkgever niet alleen toestemming moet krijgen voor de verwerking van persoonsgegevens van werknemers, dat wil zeggen personen met wie hij een arbeidsverhouding heeft, maar ook van sollicitanten, evenals van personen met wie civielrechtelijke overeenkomsten worden gesloten in de organisatie. Dit staat in paragraaf 5 van de toelichtingen van Roskomnadzor van 14 december 2012.

Universele toestemming

Vraag uit de praktijk: is het mogelijk om schriftelijke toestemming van de werknemer te verkrijgen voor het verstrekken van zijn persoonsgegevens aan derden in alle noodzakelijke situaties tot het moment van ontslag bij het aangaan van een arbeidsovereenkomst

Nee, je kan het niet.

Voor het doorgeven van gegevens van een medewerker aan derden dient de organisatie schriftelijke toestemming van deze medewerker te verkrijgen. Zonder schriftelijke toestemming van de werknemer kunnen zijn persoonsgegevens worden doorgegeven aan derden wanneer dit nodig is om een ​​bedreiging voor het leven en de gezondheid van de werknemer te voorkomen, en in andere gevallen voorzien door federale wetten. Dergelijke regels zijn vastgelegd in deel 1 van artikel 88 van de arbeidswet van de Russische Federatie.

De arbeidswet van de Russische Federatie bevat geen vereisten voor de inhoud van een schriftelijke toestemming voor de overdracht van gegevens. Paragraaf 1 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ bepaalt echter dat de toestemming voor de verwerking van persoonsgegevens specifiek, geïnformeerd en bewust moet zijn. Hieruit volgt dat de organisatie de werknemer voor elk geval van doorgifte van zijn persoonsgegevens aan een derde schriftelijke toestemming moet vragen. Alleen onder dergelijke voorwaarden kan het vereiste van concreetheid en bewuste toestemming als vervuld worden beschouwd. De lijst met informatie die moet worden opgenomen in een schriftelijke toestemming voor de overdracht van persoonlijke gegevens is vastgelegd in paragraaf 4 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ.

Verwerking van persoonsgegevens door gpd

Vraag uit de praktijk: of het nodig is om schriftelijke toestemming te verkrijgen voor de verwerking van persoonsgegevens van burgers met wie civielrechtelijke overeenkomsten zijn gesloten

Ja, in het algemeen is het wel nodig, op dezelfde manier als bij reguliere medewerkers.

De verwerking van persoonsgegevens is alleen mogelijk met de schriftelijke toestemming van het onderwerp van de persoonsgegevens, met uitzondering van bepaalde gevallen waarin een dergelijke verwerking mogelijk is zonder hun toestemming (). Tegelijkertijd kunnen zowel werknemers met een arbeidsovereenkomst als burgers met wie de organisatie civielrechtelijke overeenkomsten heeft gesloten persoonsgegevens zijn.

Zo moet een organisatie in het algemeen toestemming krijgen voor de verwerking van persoonsgegevens, inclusief burgers met wie civielrechtelijke contracten zijn gesloten, om geschillen over ongeoorloofde overdracht van gegevens buiten de reikwijdte van de voorwaarden van een civiel recht uit te sluiten contract.

De weigering van de uitvoerende kunstenaar om een ​​dergelijke toestemming te geven, vormt geen belemmering voor het sluiten van een civielrechtelijke overeenkomst.

Gegevensverwerking zonder toestemming

In welke gevallen is de toestemming van de werknemer voor de doorgifte van persoonsgegevens niet vereist?

In sommige gevallen is de verwerking van persoonsgegevens mogelijk zonder toestemming van de werknemer. Bijvoorbeeld als de verwerking van persoonsgegevens noodzakelijk is om een ​​met een werknemer gesloten overeenkomst na te komen of om de doelen te bereiken die de wet voorziet voor de uitvoering en vervulling van de functies, bevoegdheden en plichten die door de wetgeving van Rusland zijn toegewezen aan de operator, het kan worden uitgevoerd zonder de toestemming van de werknemer - het onderwerp van persoonlijke gegevens. Dit staat in de wet van 27 juli 2006 nr. 152-FZ.

Dergelijke gevallen omvatten de overdracht van informatie aan:

• Pensioenfonds van de Russische Federatie ();
• Belastingdienst ();
• militaire commissariaten ();
• andere autoriteiten, wanneer de verplichting om aan hen informatie met betrekking tot de persoonsgegevens van een werknemer door te geven bij wet is toegewezen aan de werkgever of noodzakelijk is om de bij wet vastgestelde doelen te bereiken (bijvoorbeeld rechtbanken, openbare aanklagers, enz.).

Daarnaast is toestemming niet vereist in de volgende gevallen:

• de verwerkingsplicht is wettelijk voorzien, inclusief de publicatie en plaatsing van persoonlijke gegevens van werknemers op internet (bijvoorbeeld de wet van 21 november 2011 nr. 323-FZ, de wet van 9 februari 2009 nr. 8 -FZ en een aantal andere acts);
• de verwerking van persoonsgegevens van naaste familieleden van de werknemer wordt uitgevoerd voor zover voorzien door de persoonlijke kaart (volgens het uniforme formulier nr. T-2 of onafhankelijk ontwikkeld formulier), evenals in gevallen van het ontvangen van alimentatie, verwerking sociale uitkeringen en toegang tot staatsgeheimen;
• de verwerking van informatie over de gezondheidstoestand van een werknemer heeft betrekking op de vraag of hij een arbeidsfunctie kan uitoefenen;
• gegevensverwerking heeft betrekking op de uitoefening van officiële taken door een werknemer, ook wanneer hij op zakenreis is;
• de verwerking van persoonsgegevens wordt uitgevoerd tijdens de uitvoering van de toegangscontrole tot het grondgebied van de kantoorgebouwen en gebouwen van de werkgever, op voorwaarde dat de organisatie van de toegangscontrole onafhankelijk door de werkgever wordt uitgevoerd.

Als het lokale document mogelijkheden biedt voor verrekening met werknemers of helemaal niet is gespecificeerd, hebben werknemers het recht om zelf te beslissen of ze hun salaris via de kassa of een bankpas ontvangen. En als de werkgever besluit om salarissen voor alle werknemers over te dragen naar bankkaarten, moet elke werknemer om toestemming worden gevraagd voor de verwerking van persoonlijke gegevens en hun overdracht aan een derde partij - de bank. In een dergelijke situatie hebben werknemers het recht om geen toestemming te geven en kan de werkgever, bij gebrek aan een dergelijke toestemming, niet doorgaan met het verwerken van gegevens en het doorgeven aan de bank van informatie over de werknemers die weigerden.

Meer over het onderwerp: Of het opnieuw nodig is om de toestemming van werknemers voor de verwerking van persoonsgegevens te verkrijgen bij het veranderen van bank voor de overmaking van salarissen.

Vraag uit de praktijk: of het opnieuw nodig is om de toestemming van werknemers voor de verwerking van persoonsgegevens te verkrijgen bij het veranderen van bank voor de overmaking van salarissen

Nee, dat is niet nodig, op voorwaarde dat de specifieke bank waaraan de gegevens zijn verstrekt niet in de bestaande toestemmingen is vermeld. Is de vorige toestemming voor een bepaalde bank opgesteld, dan zal de werkgever een nieuwe toestemming moeten krijgen volgens de algemene regels ().

Bovendien is het niet nodig om toestemming te verkrijgen als de lokale documenten van de organisatie voorzien in de betaling van salarissen specifiek aan bankkaarten en de werknemer bekend was met deze documenten op het moment van toelating of tijdens het werk (deel 2 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ). Zie de details.

Roskomnadzor kennisgeving

Hoe de toezichthouder informeren over de start van de verwerking van persoonsgegevens van medewerkers

Voorafgaand aan de verwerking van persoonsgegevens van werknemers moet de werkgever het territoriale orgaan van Roskomnadzor op de hoogte stellen van het voornemen om deze te verwerken. Uitzondering zijn de gevallen van verwerking van persoonsgegevens:

• verwerkt in overeenstemming met arbeidswetten;
• openbaar gemaakt door werknemers;

• door de organisatie ontvangen in verband met het sluiten van een overeenkomst waarbij de werknemer partij is (mits persoonsgegevens niet zonder toestemming van de werknemer aan derden worden verspreid of verstrekt en door de werkgever uitsluitend worden gebruikt voor de uitvoering van de gespecificeerde overeenkomst en het sluiten van andere overeenkomsten met de werknemer);
• met betrekking tot leden (deelnemers) van een openbare vereniging of religieuze organisatie;
• inclusief alleen de achternamen, voornamen en patroniemen van medewerkers;
• noodzakelijk met het oog op een enkele doorgang van een werknemer naar het grondgebied van de werkgever en voor andere soortgelijke doeleinden;
• opgenomen in informatiesystemen voor persoonsgegevens die, in overeenstemming met federale wetten, de status hebben van geautomatiseerde informatiesystemen van de staat, evenals in informatiesystemen voor persoonsgegevens van de staat die zijn gecreëerd om de staatsveiligheid en de openbare orde te beschermen;
• verwerkt zonder het gebruik van automatiseringstools in overeenstemming met wetgevingshandelingen die vereisten vaststellen voor het waarborgen van de beveiliging van persoonsgegevens tijdens hun verwerking en voor het naleven van de rechten van persoonsgegevens;
• verwerkt in gevallen bepaald door de Russische wetgeving inzake transportbeveiliging.

Bij beëindiging van de verwerking van persoonsgegevens is de werkgever tevens verplicht de bevoegde instantie hiervan op de hoogte te stellen. Dit moet gebeuren binnen tien werkdagen na de datum waarop de gegevensverwerking is beëindigd. Het standaard meldingsformulier voor het beëindigen van de gegevensverwerking is niet goedgekeurd, dus de werkgever kan het in welke vorm dan ook opstellen ().

Vraag uit de praktijk: wat wordt bedoeld met de verwerking van persoonsgegevens van een medewerker

Bescherming van persoonlijke informatie

Hoe de bescherming van persoonsgegevens van werknemers in een organisatie te organiseren?

Om de openbaarmaking van persoonlijke gegevens te voorkomen, moet u een betrouwbaar systeem voor hun bescherming creëren. Stel de procedure voor het ontvangen, verwerken, overdragen en opslaan van dergelijke informatie in de lokale wet van de organisatie in, bijvoorbeeld in (Artikel , Arbeidswet van de Russische Federatie,). De functie wordt goedgekeurd door het hoofd van de organisatie. Breng de medewerkers van de organisatie hiervan op de hoogte onder de handtekening Dit staat vermeld in deel 1 van artikel 86 van de arbeidswet van de Russische Federatie.

Ook moet de organisatie een persoon aanwijzen die verantwoordelijk is voor het werken met persoonlijke gegevens (deel 5 van artikel 88 van de arbeidswet van de Russische Federatie). In de regel is een dergelijke werknemer een werknemer van de personeelsdienst, aangezien hij het is die tijdens zijn werk het vaakst persoonlijke gegevens van werknemers tegenkomt. Benoem de verantwoordelijke voor het werken met persoonsgegevens op bestelling in welke vorm dan ook.

Specifieke maatregelen om de veiligheid van persoonsgegevens van werknemers tijdens hun verwerking te waarborgen, zijn voorzien in de wet van 27 juli 2006 nr. 152-FZ en de goedgekeurde vereisten. Op basis daarvan kan een organisatie een eigen systeem voor de bescherming van persoonsgegevens ontwikkelen.

Bij het verwerken van persoonsgegevens in een informatiesysteem is het dus noodzakelijk om de bescherming en beveiliging van persoonsgegevens te waarborgen. Tegelijkertijd is de bedreiging voor de veiligheid van persoonsgegevens een reeks voorwaarden en factoren die het gevaar creëren van ongeoorloofde (inclusief onopzettelijke) toegang tot persoonsgegevens tijdens de verwerking ervan in het systeem, wat kan leiden tot:

• verwoesting;
• verandering;
• blokkeren;
• kopiëren;
• voorraad;
• Verspreiding;
• andere illegale handelingen met persoonsgegevens.

Opgemerkt moet worden dat de keuze van specifieke middelen voor informatiebescherming voor het informatiesysteem voor de verwerking van persoonsgegevens door de werkgever wordt uitgevoerd in overeenstemming met de voorschriften van de Federale Veiligheidsdienst van Rusland en de FSTEC van Rusland. De aard van de bedreigingen voor de veiligheid van persoonsgegevens die relevant zijn voor het systeem voor de verwerking en bescherming van persoonsgegevens wordt bepaald rekening houdend met de beoordeling van mogelijke schade en in overeenstemming met de voorschriften van de genoemde instanties (artikel , van de Eisen goedgekeurd door Besluit van de regering van de Russische Federatie van 1 november 2012 nr. 1119).

Bij het verwerken van persoonsgegevens in systemen kunnen vier beveiligingsniveaus worden vastgesteld, afhankelijk van de categorie gegevens en het aantal medewerkers, informatie waarover het systeem beschikt. Afhankelijk van het beveiligingsniveau moet de werkgever verschillende maatregelen nemen om systemen voor de verwerking van persoonsgegevens te beschermen, zoals bepaald in de paragrafen 13-16 van de vereisten die zijn goedgekeurd bij decreet van de regering van de Russische Federatie van 1 november 2012 nr. 1119. Bijvoorbeeld de vaststelling van een regime voor het waarborgen van de veiligheid van gebouwen waarin persoonsgegevens zich bevinden, de benoeming van personen die verantwoordelijk zijn voor het waarborgen van de veiligheid van persoonsgegevens in het informatiesysteem, enz. Specifieke vereisten voor deze maatregelen om de veiligheid van persoonlijke gegevens tijdens hun verwerking worden vastgesteld door de samenstelling en inhoud van organisatorische en technische maatregelen die zijn goedgekeurd door de orde van de FSTEC van Rusland van 18 februari 2013 nr. 21.

Om de veiligheid van persoonsgegevens tijdens de verwerking ervan te controleren, voert de werkgever of een door hem gemachtigde persoon minstens eens in de drie jaar controlecontroles uit, waarvan de werkgever de specifieke voorwaarden onafhankelijk bepaalt. Indien nodig kunnen organisaties of individuele ondernemers die een vergunning hebben om activiteiten uit te voeren voor de technische bescherming van vertrouwelijke informatie worden betrokken bij het uitvoeren van een audit op contractuele basis (artikel 17 van de vereisten goedgekeurd bij besluit van de regering van de Russische Federatie van 1 november 2012 nr. 1119).

Verordening persoonsgegevens

Vraag uit de praktijk: Is de Regeling werken met persoonsgegevens van medewerkers een verplicht document?

Jazeker.

De procedure voor het opslaan, verwerken en gebruiken van persoonlijke gegevens van werknemers wordt vastgesteld door de werkgever, rekening houdend met de vereisten van de arbeidswet van de Russische Federatie en andere federale wetten (). Dit betekent dat de werkgever de procedure voor een dergelijke verwerking zelfstandig moet bepalen en vastleggen in een lokale regelgevende wet, met name Regelgeving over het werken met persoonsgegevens van werknemers. Alle werknemers van de organisatie moeten bij het in dienst nemen bekend zijn met de voorschriften voor ondertekening (deel 3 van artikel 68 van de arbeidswet van de Russische Federatie).

Op grond van het voorgaande volgt dat de Regeling werken met persoonsgegevens een verplicht document is van de organisatie en dat het ontbreken ervan bestuurlijke verantwoordelijkheid met zich meebrengt (). Dit wordt ook aangegeven door de rechtbanken (zie bijvoorbeeld de beslissing van de federale antimonopoliedienst van het district Moskou van 26 oktober 2006 nr. KA-A40 / 10220-06).

Een voorbeeld van de uitvoering van de Regeling werken met persoonsgegevens van medewerkers

Het hoofd van de organisatie keurde de Regeling werken met persoonsgegevens van medewerkers goed.

Er is geen personeelsafdeling in de organisatie. Accountant van de organisatie V.N. Zaitsev.

Vraag uit de praktijk: hoe persoonlijke informatie in een computerdatabase te beschermen

Om ongeoorloofde toegang tot persoonlijke informatie die is opgeslagen in een computerdatabase te voorkomen, moet u de procedure voor het beschermen van dergelijke informatie in de verordening vastleggen. Hoe groter het risico op ongeoorloofde toegang tot persoonsgegevens, des te meer maatregelen moeten worden genomen om dergelijke informatie te beschermen. Een organisatie kan bijvoorbeeld een systeem van individuele wachtwoorden invoeren die regelmatig veranderen, de toegang van werknemers tot computers die persoonlijke gegevens opslaan beperken, schijven en diskettes met dergelijke informatie opslaan in afsluitbare kasten.

De verwerking van persoonsgegevens in het informatiesysteem moet worden uitgevoerd in overeenstemming met de bepalingen van de paragrafen 8-16 van de vereisten die zijn goedgekeurd bij decreet van de regering van de Russische Federatie van 1 november 2012 nr. 1119.

De organisatie kan de bescherming van persoonsgegevens zowel zelfstandig als met tussenkomst van derde partijen verzekeren die een vergunning hebben om activiteiten uit te voeren ter bescherming van vertrouwelijke informatie. Dergelijke verduidelijkingen worden gegeven in paragraaf 17 van de vereisten die zijn goedgekeurd bij decreet van de regering van de Russische Federatie van 1 november 2012 nr. 1119.

Vraag uit de praktijk: is het mogelijk dat medewerkers die niet werkzaam zijn op de personeelsafdeling het recht krijgen op inzage in de persoonsgegevens van andere medewerkers

Ja, dat kan als werknemers toegang tot dergelijke informatie nodig hebben om bepaalde functies uit te voeren.

Alleen speciaal geautoriseerde personen die dergelijke toegang nodig hebben om specifieke functies uit te voeren, kunnen toegang krijgen tot persoonsgegevens van werknemers. Dit staat in de arbeidswet van de Russische Federatie.

In de regel moet toegang tot persoonlijke gegevens van werknemers, vanwege de specifieke kenmerken van hun activiteiten, het volgende hebben:

• personeel service medewerkers;
• boekhoudkundig personeel;
• algemeen directeur en zo nodig zijn plaatsvervangers;
• afdelingshoofden en direct leidinggevenden.

Tegelijkertijd heeft elk van de gespecificeerde categorieën medewerkers zijn eigen toegangsniveau. Zo kunnen medewerkers van de boekhoudafdeling bijvoorbeeld toegang krijgen tot de adresgegevens van medewerkers en hun burgerlijke staat, afdelingshoofden - tot persoonlijke informatie exclusief voor hun ondergeschikten.

De toegangsniveaus van bepaalde personen, evenals de specifieke procedure voor de doorgifte van persoonsgegevens van werknemers binnen de organisatie, moeten worden voorgeschreven in haar lokale documenten, bijvoorbeeld in de verordening betreffende de bescherming van persoonsgegevens van werknemers (paragraaf 5 van artikel 88 van de arbeidswet van de Russische Federatie). Bevoegde personen moeten bekend zijn met de bepalingen van het document en gewaarschuwd worden over hun rechten en plichten, evenals verantwoordelijkheid voor misbruik van informatie ().

Advies: noteer de voorwaarden voor het plaatsen van persoonsgegevens van medewerkers op de corporate website in de Regeling werken met persoonsgegevens. Maak er tegelijkertijd een bijlage bij, waarin de lijst van medewerkers wordt aangegeven die het (niet) eens zijn met het plaatsen van persoonsgegevens. Hiermee wordt aan de eis voldaan en kan de organisatie de persoonsgegevens van medewerkers die akkoord gaan met een dergelijke plaatsing op de corporate website plaatsen.

Om de rechten van haar werknemers te waarborgen, moeten de organisatie en haar vertegenwoordigers bij het verwerken van persoonlijke gegevens voldoen aan de vereisten die zijn vastgelegd in de arbeidswet van de Russische Federatie. Personen die zich schuldig maken aan het overtreden van de regels voor de bescherming van persoonsgegevens zijn onderworpen aan administratieve en strafrechtelijke aansprakelijkheid (). Of ze kunnen worden ontslagen met de bewoording "voor openbaarmaking van persoonlijke gegevens van een andere werknemer op basis van subparagraaf "c" van paragraaf 6 van deel 1 van artikel 81 van de arbeidswet van de Russische Federatie."

Vraag uit de praktijk: of het hoofd van de structurele eenheid het recht heeft van de boekhouding te verlangen dat deze maandelijks informatie verstrekt over het opgebouwde salaris van de aan hem ondergeschikte werknemers

Informatie over de aan werknemers opgebouwde bedragen heeft betrekking op persoonsgegevens (artikel 1, artikel 3 van de wet van 27 juli 2006 nr. 152-FZ). De direct leidinggevende kan ze opvragen als de juiste toestemming is vastgelegd in de lokale regelgeving en de toestemming van de werknemer voor de verwerking van zijn persoonsgegevens is verkregen.

Tegelijkertijd is informatie over salarissen en vergoedingen van werknemers opgenomen in de personeelstabel. De personeelstabel is een lokaal document van de organisatie en is niet van toepassing op persoonsgegevens. Het hoofd van de structurele eenheid kan, indien nodig, verwijzen naar dit document, indien de functiebeschrijving van het hoofd of de lokale handeling van de organisatie daarin voorziet. Zo kan hij de nodige informatie verkrijgen zonder contact op te nemen met de boekhoudafdeling.

Weigering om gegevens te verwerken

Vraag uit de praktijk: wat te doen als een persoon weigert toestemming te geven voor de verwerking van zijn persoonsgegevens

De organisatie heeft het recht om zonder zijn toestemming de persoonsgegevens van een persoon te blijven verwerken, als daar bepaalde gronden voor zijn. Tegelijkertijd is het volume van dergelijke verwerkingen groot genoeg en stelt het de organisatie in staat om de huidige activiteiten ongestoord uit te voeren.

In het bijzonder mag de werkgever geen toestemming vragen voor de verwerking van persoonsgegevens van sollicitanten voor het sluiten van een arbeids- en civielrechtelijk contract, het verzenden van gepersonaliseerde rapporten aan het pensioenfonds van de Russische Federatie, belastingaangifte aan de federale belastingdienst van Rusland, informatie over degenen die verantwoordelijk zijn voor militaire dienst aan militaire commissariaten, evenals voor het opslaan van documenten met persoonlijke gegevens, waaronder arbeids- en civielrechtelijke contracten, persoonlijke kaarten, persoonlijke bestanden, enz. Dat wil zeggen, wanneer de werkgever de taken vervult die hem door de wet zijn toegewezen.

Dergelijke regels zijn vastgelegd in paragrafen 2-11 van deel 1 van artikel 6, deel 2 van artikel 10 en deel 2 van artikel 11 van de wet van 27 juli 2006 nr. 152-FZ.

Voor de uitvoering van alle andere acties van de organisatie is het noodzakelijk om de toestemming van de persoon te verkrijgen voor de verwerking van zijn persoonlijke gegevens (deel 4 van artikel 9 van de wet van 27 juli 2006 nr. 152-FZ).

Aandacht: de huidige wetgeving verplicht een persoon niet om toestemming te geven voor de verwerking van persoonsgegevens, daarom kan een weigering van zijn kant niet worden beschouwd als een overtreding en een basis voor weigering om een ​​overeenkomst te sluiten. Een personeelslid kan evenmin worden ontslagen of anderszins tuchtrechtelijk aansprakelijk worden gesteld wegens het weigeren van toestemming voor de verwerking van persoonsgegevens.

Vraag uit de praktijk: wat te doen als een werknemer weigert persoonsgegevens van gezinsleden te verstrekken voor het invullen van personeelsdocumenten

Onder depersonalisatie van persoonsgegevens worden handelingen verstaan, waardoor het zonder gebruik van aanvullende informatie onmogelijk wordt om vast te stellen of persoonsgegevens toebehoren aan een bepaalde persoon ().

Als het nodig is om persoonsgegevens te depersonaliseren, geven de hoofden van organisaties toestemming voor:

• regels voor het werken met geanonimiseerde gegevens;
• een overzicht van functies van medewerkers die verantwoordelijk zijn voor het uitvoeren van maatregelen om de verwerkte persoonsgegevens te depersonaliseren.

Dergelijke regels zijn vastgelegd in paragraaf "b" van paragraaf 1 van de lijst die is goedgekeurd bij decreet van de regering van de Russische Federatie van 21 maart 2012 nr. 211.

Specifieke vereisten en methoden voor de depersonalisatie van persoonlijke gegevens die in informatiesystemen worden verwerkt, zijn vastgelegd in de vereisten en methoden die zijn goedgekeurd door Roskomnadzor Order No. 996 van 5 september 2013.

De belangrijkste vereiste voor de depersonalisatie van persoonsgegevens is niet alleen bescherming tegen ongeoorloofd gebruik, maar ook de mogelijkheid van verwerking ervan. Hiervoor moeten geanonimiseerde gegevens eigenschappen hebben die de hoofdkenmerken van geanonimiseerde persoonsgegevens behouden. Deze eigenschappen omvatten in het bijzonder:

• volledigheid, dat wil zeggen het bewaren van alle informatie over specifieke mensen of groepen mensen die beschikbaar was vóór depersonalisatie;
• gestructureerdheid, dat wil zeggen het behoud van structurele verbanden tussen de gedepersonaliseerde gegevens van een bepaalde persoon of groep mensen die bestonden vóór de depersonalisatie;
• toepasbaarheid, dat wil zeggen de mogelijkheid om de problemen bij het verwerken van persoonsgegevens op te lossen zonder eerst de hele hoeveelheid gegevens over mensen te depersonaliseren;
• anonimiteit, dat wil zeggen de onmogelijkheid van ondubbelzinnige identificatie van betrokkenen die zijn verkregen als gevolg van depersonalisatie zonder het gebruik van aanvullende informatie.

De belangrijkste vereisten voor methoden voor depersonalisatie van persoonlijke gegevens zijn:

• zorgen voor de vereiste eigenschappen van geanonimiseerde gegevens;
• naleving van de eisen voor de kenmerken van de methoden;
• implementatie van methoden in verschillende programma's;
• oplossing van de taken van de verwerking van persoonsgegevens.

De meest veelbelovende en handigste voor praktisch gebruik zijn de volgende depersonalisatiemethoden:

• de methode voor het invoeren van identifiers, dat wil zeggen, het vervangen van een deel van de informatie van persoonsgegevens door identifiers met het creëren van een tabel van overeenstemming van identifiers met de originele gegevens;
• de methode voor het wijzigen van de samenstelling of semantiek, dat wil zeggen het wijzigen van de samenstelling of semantiek van persoonsgegevens door de resultaten van statistische verwerking te vervangen, samen te vatten of een deel van de informatie te verwijderen;
• ontledingsmethode, dat wil zeggen het splitsen van een reeks persoonlijke gegevens in verschillende delen met daaropvolgende afzonderlijke opslag;
• mengmethode, dat wil zeggen het herschikken van individuele records, evenals groepen records in een reeks persoonlijke gegevens.

Commerciële organisaties, met het oog op het veilig werken met persoonsgegevens van werknemers, zijn ook gerechtigd, maar niet verplicht, om over te gaan tot depersonalisatie (artikel 3, artikel 3 van de wet van 27 juli 2006 nr. 152-FZ). Als een organisatie besluit om persoonsgegevens te depersonaliseren, moet een specifieke depersonalisatiemethode worden vastgelegd in een lokale wet, bijvoorbeeld in de verordening over het werken met persoonsgegevens van werknemers (artikel , arbeidswetboek van de Russische Federatie).

Controles op de naleving van de vereisten voor de verwerking van persoonsgegevens

Hoe de nalevingscontroles van de verwerking van persoonsgegevens worden uitgevoerd

Roskomnadzor voert inspecties uit bij de werkgever met betrekking tot de verwerking van persoonsgegevens door hem. De Orde van het Ministerie van Telecom en Massacommunicatie van Rusland van 14 november 2011 nr. 312 keurde de administratieve voorschriften goed voor de uitvoering door deze dienst van de functies van het uitoefenen van staatscontrole (toezicht).

Het onderwerp van controle van de activiteiten van de werkgever bij de verwerking van persoonsgegevens zijn:

• documenten, de aard van de informatie waarin het opnemen van persoonsgegevens daarin wordt begrepen of mogelijk wordt gemaakt;
• persoonsgegevens informatiesystemen;
• verwerkingsactiviteiten.

Roskomnadzor voert zowel geplande als ongeplande inspecties uit in de vorm van documenten- of veldinspecties (wet van 26 december 2008 nr. 294-FZ). De rechten en plichten van Roskomnadzor-functionarissen tijdens inspecties worden respectievelijk bepaald door paragrafen en de administratieve voorschriften, goedgekeurd op bevel van het ministerie van Telecom en Massacommunicatie van Rusland van 14 november 2011 nr. 312.

De termijnen voor het controleren van de activiteiten van de werkgever bij de verwerking van persoonsgegevens tijdens zowel geplande als ongeplande controles mogen niet langer zijn dan 20 werkdagen. Tegelijkertijd mag voor kleine bedrijven de totale periode van geplande veldinspecties per jaar niet langer zijn dan:

• 50 uur - voor een klein bedrijf;
• 15 uur - voor een micro-onderneming.

In uitzonderlijke gevallen kan de periode voor het uitvoeren van een geplande inspectie ter plaatse worden verlengd, maar met niet meer dan 20 werkdagen, en voor kleine en micro-ondernemingen - met niet meer dan 15 uur. Dit is mogelijk als het in de loop van de audit noodzakelijk wordt om:

• complexe en langdurige studies, tests;
• speciale expertise en onderzoeken.

Alleen die werknemers die zich ertoe hebben verbonden de regels voor het werken met persoonsgegevens na te leven en deze hebben overtreden () kunnen aansprakelijk worden gesteld voor disciplinaire maatregelen. Aansprakelijkheid kan ontstaan ​​als een organisatie in verband met een overtreding van de regels voor het werken met persoonsgegevens direct daadwerkelijke schade heeft veroorzaakt ().

Bij overtreding van de procedure voor het verzamelen, opslaan, gebruiken of verspreiden van persoonsgegevens worden de organisatie en haar functionarissen beboet. Als onderdeel van één inspectie kan Roskomnadzor verschillende overtredingen detecteren. Dan zal hij meerdere boetes tegelijk incasseren.

De hoogte van de boetes is afhankelijk van het soort overtreding dat is begaan. Ambtenaren kunnen dus een boete krijgen van 3.000 tot 20.000 roebel, individuele ondernemers - van 5.000 tot 20.000 roebel, een organisatie - van 15.000 tot 75.000 roebel. Voor meer informatie over wat de straffen zijn voor overtredingen in het werken met persoonsgegevens, zie de tabel.

Dergelijke maatregelen van verantwoordelijkheid worden bepaald door artikelen en de Code van de Russische Federatie inzake administratieve overtredingen.

Strafrechtelijke aansprakelijkheid voor het hoofd van de organisatie (een andere persoon die verantwoordelijk is voor het werken met persoonsgegevens) kan voorkomen voor illegale:

• het verzamelen of verspreiden van informatie over het privéleven van een werknemer, die zijn persoonlijk of familiegeheim vormt, zonder zijn toestemming;
• verspreiding van deze informatie in een openbare toespraak, publiek getoond werk of massamedia.

Voor deze overtredingen zijn de volgende sancties voorzien:

• een boete van maximaal 200.000 roebel. (of ter hoogte van het inkomen van de veroordeelde voor een periode van maximaal 18 maanden);
• verplicht werk tot 360 uur;
• correctionele arbeid voor maximaal een jaar;
• dwangarbeid gedurende maximaal twee jaar met ontzetting van het recht om bepaalde functies te bekleden of bepaalde activiteiten uit te oefenen gedurende maximaal drie jaar of zonder;
• arrestatie voor maximaal vier maanden;
• gevangenisstraf van ten hoogste twee jaar met ontzetting van het recht om bepaalde functies te bekleden of bepaalde activiteiten uit te oefenen tot drie jaar.

Tegelijkertijd worden dezelfde handelingen begaan door een persoon die zijn officiële functie gebruikt, gestraft:

• een boete van 100.000 tot 300.000 roebel. (of ter hoogte van het inkomen van de veroordeelde voor een periode van één tot twee jaar);
• ontzetting van het recht om bepaalde functies te bekleden of bepaalde activiteiten uit te oefenen voor een periode van twee tot vijf jaar;
• dwangarbeid gedurende maximaal vier jaar met of zonder ontneming van het recht om bepaalde functies te bekleden of bepaalde activiteiten uit te oefenen gedurende maximaal vijf jaar;
• arrestatie voor een periode van vier tot zes maanden;
• gevangenisstraf van ten hoogste vier jaar met ontzetting van het recht om bepaalde functies te bekleden of bepaalde activiteiten uit te oefenen tot vijf jaar.

Vraag uit de praktijk: Is het mogelijk om in de arbeidsovereenkomsten van werknemers te voorzien in een voorwaarde voor het niet openbaar maken van vertrouwelijke informatie?

Ja, dat kan.

Maar alleen in relatie tot die medewerkers die direct met persoonsgegevens werken: personeelsfunctionarissen, personeelsmanagers, secretaresses (). Maak in dat geval bij indiensttreding de medewerker bekend met de Regeling werken met persoonsgegevens.

Vraag uit de praktijk: is het mogelijk om informatie over het werk van een medewerker in de organisatie telefonisch door te geven aan vertegenwoordigers van andere bedrijven, zoals banken?

Ja, dat kan, maar alleen met schriftelijke toestemming van de werknemer zelf.

Persoonlijke gegevens verwijzen naar alle informatie die direct of indirect verband houdt met een specifieke persoon (onderwerp van persoonlijke gegevens) (deel 1 van artikel 3 van de wet van 27 juli 2006 nr. 152-FZ). Tegelijkertijd is de lijst met persoonlijke gegevens niet uitputtend, dat wil zeggen dat alle informatie met betrekking tot een bepaalde persoon zijn persoonlijke gegevens zijn. Zo zijn de plaats van tewerkstelling en het feitelijke feit dat een organisatie wordt gevraagd, bijvoorbeeld door een kredietinstelling om het feit van het werk te bevestigen of door een potentiële werkgever over een voormalige werknemer, persoonsgegevens. Daarom is het alleen mogelijk om gegevens over een werknemer aan andere organisaties door te geven in overeenstemming met de algemene vereisten voor de verwerking van persoonsgegevens, dat wil zeggen alleen met toestemming van de werknemer zelf (artikel 3, deel 1, artikel 86 van de Arbeidswet van de Russische Federatie,).

Zo is het mogelijk informatie te verstrekken over het feit dat medewerkers telefonisch werken aan niet-geïdentificeerde personen, ook degenen die zich voorstellen als bankspecialist, maar alleen met schriftelijke toestemming van de medewerker zelf, ongeacht of hij in de organisatie blijft werken of is al gestopt.

Vraag uit de praktijk: is de werkgever verplicht om op verzoek van de gerechtsdeurwaarder melding te doen van het feit dat hij werkzaam is in de organisatie van de schuldenaar werknemer

Het feit van werken in de organisatie verwijst naar de persoonsgegevens van de werknemer. De gerechtsdeurwaarder die een tenuitvoerleggingsprocedure voert, heeft het recht om van de organisatie informatie op te vragen over werknemers ten aanzien waarvan rechterlijke uitspraken zijn gedaan over de betaling van alimentatie of andere soorten toegekende betalingen, inclusief informatie met betrekking tot persoonsgegevens. De werkgever heeft niet het recht om dit verzoek te negeren. Dergelijke regels zijn vastgesteld door de wet van 2 oktober 2007 nr. 229-FZ.

Tegelijkertijd heeft de werkgever het recht om het feit van werk in de organisatie van de werknemer-schuldenaar zonder zijn toestemming te melden voor de overdracht van persoonsgegevens aan derden, aangezien in dit geval de verwerking van persoonsgegevens noodzakelijk is voor de rechtsbedeling, de uitvoering van een gerechtelijke handeling onderworpen aan tenuitvoerlegging in overeenstemming met de wetgeving van Rusland inzake tenuitvoerleggingsprocedures (Artikel 3, Deel 1, Artikel 6, Clausule 6, Deel 2, Artikel 10, Deel 2, Artikel 11 van de Wet van 27 juli 2006 nr. 152-FZ).

Zo is de werkgever verplicht gehoor te geven aan het verzoek van de gerechtsdeurwaarder over het feit van het werk van de schuldenaar werknemer. Toestemming van de werknemer verkrijgen

Beantwoord door Margarita Orlova,

Hoofd van de afdeling Administratie van Verzekeringspremies van de FSS van Rusland

“Om de hoofdactiviteit te bevestigen voor een aparte eenheid die zelf bijdragen betaalt, dien je dezelfde documenten in als voor de organisatie als geheel. Het enige verschil is dat ze alleen informatie voor de eenheid weergeven en deze indienen bij de FSS-afdeling op de plaats van registratie van een dergelijke eenheid. Hoe u premie betaalt totdat u van de FSS een bericht over het tarief voor het lopende jaar heeft ontvangen - dat leest u in het advies.

In welke gevallen is het nodig om Roskomnadzor op de hoogte te stellen van de verwerking van persoonsgegevens? Het antwoord staat in het artikel.

Vraag: Zijn wij wettelijk verplicht om ons te registreren in het register van exploitanten van persoonsgegevens van Roskomnadzor? in paragraaf 2 van art. 22 van de wet van 27 juli 2006 nr. 152-FZ "Over persoonsgegevens" stelt dat,2. De exploitant heeft het recht om persoonsgegevens te verwerken zonder kennisgeving aan de bevoegde instantie voor de bescherming van de rechten van persoonsgegevens Wij zijn niet verplicht om ons in het register te registreren?

Antwoord: Registratie in het register van operators van persoonlijke gegevens van Roskomnadzor is niet vereist, omdat er geen registratieprocedure is. De exploitant is verplicht om voorafgaand aan de verwerking van persoonsgegevens een melding te sturen naar Roskomnadzor (clausule 1, artikel 22 van wet nr. 152-FZ). Roskomnadzor houdt een register van operators bij op basis van meldingen.

Tegelijkertijd zijn er uitzonderingen op deze rechtsregel, die in paragraaf 2 van art. 22 van wet nr. 152-FZ.

reden

Opslag van persoonsgegevens in Rusland. Wat zijn de functies voor werknemersinformatie?

Als het bedrijf persoonsgegevens verwerkt niet alleen van werknemers en opdrachtnemers - personen. Dat wil zeggen dat elk bedrijf verplicht is om ambtenaren op de hoogte te stellen van de verwerking van persoonsgegevens.

Als algemene regel is een werkgever verplicht om Roskomnadzor te informeren over het begin van de verwerking van persoonsgegevens (deel 1, artikel 22 van wet nr. 152-FZ). Veel bedrijven hebben dit nog steeds niet gedaan. Zij rechtvaardigen dit als volgt: de werkgever verwerkt alleen persoonsgegevens van zijn werknemers. Daarom valt het bedrijf onder de uitzondering, die is vastgelegd in paragraaf 1 van deel 2 van art. 22 van wet nr. 152-FZ. Volgens deze regel heeft de werkgever het recht om persoonsgegevens te verwerken in overeenstemming met de arbeidswetgeving zonder Roskomnadzor hiervan op de hoogte te stellen.

Maar in de meeste gevallen is de stelling dat melding niet vereist is onjuist. De werkgever verwerkt immers niet alleen de gegevens van werknemers, maar ook van andere betrokkenen. Bijvoorbeeld vertegenwoordigers van tegenpartijen bij het verkrijgen van volmachten of werknemers van andere vennootschappen die tot dezelfde groep als de werkgever behoren. In dergelijke gevallen is het raadzaam om Roskomnadzor hiervan op de hoogte te stellen.

In welke vorm moet Roskomnadzor op de hoogte worden gebracht?

Vermeld in de melding informatie over de persoonsgegevens van werknemers (artikel 7 van de Tijdelijke aanbevelingen voor het invullen van het meldingsformulier, goedgekeurd door Roskomnadzor op 30 december 2014). De uitzonderingen vastgelegd in deel 2 van art. 22 van wet nr. 152-FZ, zijn in dit geval niet van toepassing.

Roskomnadzor zal de informatie uit de kennisgeving binnen 30 dagen vanaf de datum van ontvangst van het document in het register van exploitanten opnemen. U hoeft hiervoor geen geld te betalen (deel 4, deel 5 van artikel 22 van wet nr. 152-FZ).

Werkgevers die Roskomnadzor niet op de hoogte stellen, lopen het risico een brief van ambtenaren te ontvangen. Als reactie hierop moeten werkgevers een kennisgeving sturen of de redenen motiveren om deze niet te verzenden. In het laatste geval neemt het risico van verificatie door Roskomnadzor van de geldigheid van dit soort rechtvaardiging toe. Volgens het jaarverslag over 2014 heeft Roskomnadzor dus meer dan 58 duizend van dergelijke brieven aan exploitanten gestuurd (

Sinds de goedkeuring van de federale wet "On persoonsgegevens" in 2006, zijn sommige bepalingen en concepten nog steeds onduidelijk voor de werknemers van de operatoren. De schijnbare vaagheid van de formulering wordt soms het onderwerp van speculatie voor bepaalde actieve burgers die zich tot doel hebben gesteld de absurditeit of inconsistentie van de wet te bewijzen.

Door bepaalde formuleringen van de wet te manipuleren (soms uit hun verband gehaald), te vertrouwen op de principes van formele logica (niet altijd eerlijk als het gaat om de wet als wetenschap), mogelijke botsingen te modelleren, komen sommige analisten tot onverwachte en onjuiste conclusies.

Het gevaar van deze conclusies ligt in de desoriëntatie van deelnemers aan informatierechtsbetrekkingen, evenals in het feit dat het aannemen van dubieuze verklaringen het werk van exploitanten belemmert om hun activiteiten in overeenstemming te brengen met de wet en voorwaarden schept voor hen om de wet te schenden eisen van de wet.

Dergelijke problematische kwesties omvatten de definitie van een exploitant van persoonsgegevens. Een exploitant is een staat, gemeentelijk lichaam, rechtspersoon of natuurlijke persoon die de verwerking van PD organiseert en (of) uitvoert, evenals het doel en de inhoud van de verwerking van persoonsgegevens bepaalt (artikel 3 van de federale wet 152). Deze schijnbaar voor de hand liggende en niet-onderhandelbare definitie in de praktijk misleidt operators soms. De essentie van deze misvatting is als volgt: "de persoon die de verwerking uitvoert, is niet altijd de operator". De reden voor de waanvoorstelling ligt in de zinsnede "en ook". Dit "en ook" wordt door sommigen gezien als de kern van de waarheid waardoor individuele exploitanten de verplichting om te voldoen aan de vereisten van federale wet 152 kunnen ontlopen. Paradoxaal genoeg zijn veel exploitanten er nog steeds zeker van dat ze geen exploitanten zijn. Ter onderbouwing van deze stelling worden de volgende argumenten aangevoerd: de noodzaak van PD-verwerking wordt bepaald door de federale wet (of “vastgesteld door hogere organisaties”), daarom worden de doeleinden van de verwerking niet onafhankelijk bepaald of mogen ze niet worden bepaald door de persoon die de verwerking uit (het is niet nodig de doeleinden vast te stellen of er zijn geen bevoegdheden).

Laten we proberen dit probleem aan te pakken, waarvan de essentie de vraag is: is het bepalen van het doel van PD-verwerking een teken of een verplichting van de exploitant?

Er is dus een mening dat een operator de enige en uitsluitende is die tegelijkertijd aan de volgende twee criteria voldoet:
Deze persoon moet de verwerking van PD organiseren of daadwerkelijk uitvoeren (of beide tegelijk);
Deze persoon moet het doel en de inhoud van de PD-verwerking bepalen.

De vereiste om het doel van PD-verwerking te bepalen, wordt dus beschouwd als het belangrijkste kenmerk van de operator.

Tijdens de voorbereiding van dit artikel hebben filologen een taalkundige analyse van de overwogen definitie uitgevoerd. De resultaten van de analyse zijn hieronder weergegeven.

De definitie van het doel kan niet de hoofdfunctie zijn, omdat deze functie wordt genoemd in een reeks homogene leden van de zin en deze sluit. Bovendien wordt dit homogene lid van de zin vergezeld door het voegwoord "en ook", dat een toegevoegde betekenis heeft, bijvoorbeeld: ik heb vredig genoten van mijn werk, succes, roem, evenals het werk en succes van mijn vrienden "(P - zie Valgina NS, Rosenthal D.E., Fomina M.N. Modern Russian language. Textbook.: M., Logos, 2006.

Russian Grammar schrijft ook over dezelfde betekenis (M, 1980, vol. II):

§ 2079. Verbindende relaties zijn gebaseerd op verbinden: het tweede lid van de reeks heeft een bijkomend karakter; het wordt vaak onderscheiden in een afzonderlijk syntagma; de volgorde van de leden van de serie is strikt vereist. Accessoire relaties (met tinten van toevoeging of versterking) worden uitgedrukt door samengestelde unies en combinaties van een unie met een concretizer: en ook, en bovendien, en bovendien (bovendien): een oudere dame zat in een koets, en zelfs een jonge meisje (Tyn.); De rapporten werden perfect in orde en bovendien op tijd (gaz.) afgeleverd.

Opmerking. Vakbonden en ook, beide ... en hebben het vermogen om graduele en verbindende relaties uit te drukken, maar worden vaak in een bredere zin gebruikt - verbindend of vergelijkend: deze Vyun is buitengewoon respectvol en aanhankelijk, kijkt even teder naar zowel zijn eigen als anderen, maar gebruikt geen krediet (Tsjechisch); De fabriek heeft hoge resultaten behaald, zowel in termen van kwantiteit als kwaliteit van de producten (gas); Leerlingen van de muziekschool geven vaak concerten in scholen, paleizen van cultuur, en ook in de werkplaatsen van ondernemingen (gaz.).

Maar de vakbonden "en (of)", samen aangegeven, betekenen dat de leden van een homogene reeks, door hen verbonden, zowel naast elkaar kunnen bestaan ​​("organiseren en verwerken uitvoeren"), of worden geselecteerd (een van de reeksen: " het organiseren of uitvoeren van verwerkingen”).

De gegeven taalkundige analyse toont de ongegrondheid aan van de bewering dat het bepalen van het doel van PD-verwerking een onmisbaar kenmerk is van de operator. Tegelijkertijd is deze analyse niet het enige bewijs van de wreedheid van deze bewering.

Uit de inhoud van verschillende soorten publicaties en op basis van de opkomende wetshandhavingspraktijk kunnen we ook concluderen over de houding van het orgaan dat bevoegd is om de rechten van PD-subjecten te beschermen (hierna Roskomnadzor genoemd) ten aanzien van het probleem in kwestie. Roskomnadzor is van mening dat de operator degene is die in de eerste plaats alle operaties met PD uitvoert. Tegelijkertijd heeft de "verwerker" vanwege het feit zelf van de verwerking ook de verplichting om de doeleinden van een dergelijke verwerking te bepalen. Die. in feite is de bepaling van het doel van de verwerking eerder een gevolg van de verwerking, of de noodzaak van een dergelijk integraal onderdeel van de verwerking, de primaire verplichting die voortvloeit uit de verwerking van PD, en niet het "hoofdkenmerk van de exploitant".

De geldigheid van de uitgesproken mening wordt ook bevestigd door een systematische analyse van de normen van federale wet nr. 152. We moeten beginnen met artikel 1 van de wet, dat de reikwijdte van de toepassing ervan definieert. Het genoemde artikel stelt dat de wet betrekkingen regelt met betrekking tot de verwerking van PD uitgevoerd door verschillende instanties, rechtspersonen en individuen. Het concept van verwerking wordt gegeven in paragraaf 3 van artikel 3 van federale wet 152. Dit zijn acties (bewerkingen) met PD, inclusief verzameling, systematisering, accumulatie, opslag, verduidelijking (bijwerken, wijzigen), gebruik, distributie (inclusief overdracht), depersonalisatie, blokkering, vernietiging van persoonlijke gegevens. Uit het voorgaande volgt dat als een bepaalde persoon een van de opgesomde acties uitvoert, hij a priori deelnemer wordt aan public relations die het onderwerp zijn van de regulering van de federale wet nr. 152 (tenzij hij valt onder de uitzonderingen voorzien voor in deel 2 van artikel 1 van de wet). Hoe moet deze persoon worden genoemd in termen van de federale wet "op persoonlijke gegevens"? De keuze is klein. Deze persoon moet worden aangeduid als de exploitant.

Een bepaalde persoon voert dus de verwerking van PD uit (of is voornemens deze uit te voeren). Volgens artikel 5 van de federale wet 152 moet de verwerking van PD worden uitgevoerd in overeenstemming met de beginselen die door de wet zijn gedefinieerd. Een analyse van de inhoud van de grondslagen leidt tot de conclusie dat de fundamentele basis voor de verwerking van PD de bepaling van de doeleinden van de verwerking is. Zonder zelfs maar in te gaan op de essentie van elk principe, maar simpelweg met een vluchtige lezing van artikel 5 in elke paragraaf van het artikel, zien we de term "doel" ("wettigheid van de doelen", "geschiktheid voor de doelen", "toereikendheid voor de doeleinden”, enz.). Deze concentratie van aandacht wordt door de wetgever niet toevallig toegepast. De wet vereist dat een persoon die PD-patiënten verwerkt, de instantie die bevoegd is om de rechten van PD-subjecten te beschermen, in kennis stelt van de doeleinden van de verwerking van PD-subjecten. De wet heeft tot doel activiteiten met betrekking tot de verwerking van PD transparant en begrijpelijk te maken, zowel voor een persoon - de drager van door de wet beschermde grondwettelijke rechten en vrijheden, als voor overheidsinstanties die zorgen voor de implementatie van mechanismen voor de bescherming van mensenrechten als onderwerp van PD. Het idee van de ontoelaatbaarheid van “doelloze” verwerking van PD (verwerking van PD “gewoon omwille van het”, “voor de eigen onzekere behoeften”, voor “algemene ontwikkeling”, “voor zichzelf”, etc.) is een rode draad in de wet.

Volgens het tweede principe, vastgelegd in artikel 5 van de wet, moeten de doeleinden van een dergelijke verwerking, indien een persoon voornemens is om PD te verwerken, vooraf (vóór het begin van de verwerking) worden bepaald en aangegeven. De omgekeerde logische redenering leidt tot de conclusie dat de uitvoering van acties met PD zonder een specifiek verwerkingsdoel een schending is van de verwerkingsprincipes, en dus een schending van de wet, een voorwaarde voor het overtreden van de grondwettelijke rechten en vrijheden van een persoon en een burger.

Interpretatie van de norm uiteengezet in paragraaf 2. Artikel 3 van federale wet 152 in de context dat het bepalen van het doel niet de verantwoordelijkheid is van de bediener, maar een integraal kenmerk dat hem als zodanig identificeert, brengt onvermijdelijk de volgende paradoxale conclusie met zich mee. Instanties zoals het pensioenfonds van de Russische Federatie, het verplichte ziektekostenverzekeringsfonds, de federale belastingdienst, de federale migratiedienst en vele andere staatsstructuren, waarvan de verantwoordelijkheden rechtstreeks worden gedefinieerd en gedetailleerd door de federale wetgeving, ook in het kader van transacties met PD, vallen buiten de reikwijdte van de wet. De beschouwde premisse leidt ook tot de conclusie dat telecomoperators geen PD-operators zijn, aangezien het doel van het verzamelen van PD van abonnees is voorzien in de wet "Op communicatie" en de statuten - d.w.z. bepaald door de staat, en niet door een specifieke persoon die communicatiediensten levert. Hetzelfde geldt voor kredietinstellingen, verzekeringen en andere organisaties die met PD incasseren en andere acties ondernemen om het legaliseren (witwassen) van opbrengsten uit criminaliteit, d.w.z. voor de doeleinden die uitdrukkelijk worden bepaald door de wet "Bestrijding van de legalisatie (witwassen) van opbrengsten van misdrijven", en niet door deze organisaties zelf. De lijst kan voor onbepaalde tijd worden voortgezet, door slechts één norm van de wet te verabsoluteren en het punt van absurditeit te bereiken in pogingen om de letterlijke interpretatie ervan op echte sociale relaties te proberen.

Artikel 18 van de federale wet nr. 152 legt de verplichtingen van de exploitant vast bij het verzamelen van PD. Deze omvatten in de eerste plaats de verplichting van de exploitant om de PD-subject op zijn verzoek informatie te verstrekken (artikel 14 van de federale wet 152), ook over de doeleinden van de verwerking van zijn PD. Bij het vaststellen van deze verplichting maakt de wet geen uitzondering voor operators die PD verwerken op basis van federale wetten.

Rekening houdend met het voorgaande wordt het dus duidelijk dat in de context van de wet het bepalen van het doel van de PD-verwerking in feite de verantwoordelijkheid is van de persoon die de PD-verwerking uitvoert, en niet een van de tekens waarvan het bezit is maakt van deze persoon een operator.

Wat is de "definitie" van het doel? Het begrijpen van de betekenis van het woord "definitie" is belangrijk voor het begrijpen van de inhoud van de rechtsstaat, zonder welke de handhaving van deze regel onmogelijk is. Aangezien de wetgever het niet nodig achtte om het concept van "bepaling van het doel" in de wet zelf bekend te maken, laten we ons wenden tot een van de interpretatiemethoden die in de rechtstheorie worden erkend - lexicale (linguïstische) interpretatie.

Volgens het verklarende woordenboek van de Russische taal, onder redactie van prof. DN Ushakova, definieer middelen
Nauwkeurig uitzoeken, informeren;
Geef een wetenschappelijke, logische beschrijving, formulering van een concept, onthul de inhoud ervan;
Beslissen, een beslissing nemen over iets;
Dienen als een reden voor de ontwikkeling, vorming van iets, vooraf bepalen, conditie;
Aanwijzen, specificeren.

Daarom kan de definitie van het doel van PD-verwerking worden opgevat als de verduidelijking, selectie, selectie uit een verscheidenheid aan mogelijke doeleinden, de instelling of benoeming als zodanig, waarbij dit specifieke doel (doelen) wordt aangegeven als een reden voor het verwerken van PD.

Contextuele analyse van de inhoud van federale wet 152, identificatie van de semantische verbanden met andere rechtsbronnen stelt ons in staat om te concluderen dat voor individuele PD-operators en (of) voor bepaalde categorieën van PD-onderwerpen, de doelen van PD-verwerking feitelijk vooraf kunnen worden bepaald of zelfs direct aangegeven in wetten of verordeningen (de arbeidswet geeft bijvoorbeeld specifiek aan werkgevers de doeleinden van het verwerken van persoonsgegevens van werknemers). Het doel van het verwerken van bepaalde PD door andere operators vloeit voort uit hun verplichtingen die voortvloeien uit contractuele verplichtingen. In sommige gevallen kunnen de doeleinden van de verwerking van PD gelijktijdig worden bepaald door de inhoud van de commerciële activiteiten van de operator en de bepalingen van de wet (communicatieoperatoren, om hun eigen wettelijke activiteiten uit te voeren die gericht zijn op het genereren van winst, verwerken PD in om communicatiediensten te verlenen en in overeenstemming met de wet "On Communications").

De primaire taak van de persoon die de verwerking van PD uitvoert, is dus precies het verwoorden van de doelen van de verwerking van PD, om voor zichzelf duidelijk te maken wat precies de verwerking van PD van individuen specifiek voor hem bepaalt. De formulering van het antwoord op deze vraag zal eigenlijk de definitie van het doel van PD-verwerking zijn.

In de context van het probleem dat in dit artikel wordt besproken, is de mening van de regering van de Russische Federatie over de wijzigingen van federale wet 152 van belang. Dit wetsontwerp stelt onder meer een nieuwe formulering van het begrip "exploitant" voor, namelijk:

"operator - een overheidsinstantie, gemeentelijk lichaam, rechtspersoon of persoon die persoonsgegevens verwerkt, en die het doel, de inhoud en de procedure voor de verwerking van persoonsgegevens bepaalt." Zoals u kunt zien, is het woord "organiseren" uitgesloten van de huidige formulering. In haar officiële reactie op dit wetsontwerp geeft de regering van de Russische Federatie aan dat "een dergelijke wijziging niet kan worden ondersteund, aangezien personen die persoonsgegevens verwerken, maar niet het doel en de inhoud van de verwerking bepalen, niet als exploitanten kunnen worden beschouwd." Uit de bovenstaande opmerking van de regering van de Russische Federatie volgt dat vandaag (wanneer de formulering van de wet nog niet is gewijzigd), naar de mening van de regering van de Russische Federatie, een operator een persoon is die PD verwerkt, ongeacht van de aan- of afwezigheid van het feit dat hij de doeleinden van die verwerking vaststelt.

De analyse die in dit artikel wordt uitgevoerd, stelt ons dus in staat verschillende conclusies te trekken.
Het bepalen van het doel van de PD-verwerking is de verantwoordelijkheid van de exploitant, en niet een verplicht identificatiekenmerk van de exploitant.
Het bepalen van het doel van PD-verwerking is het proces van het begrijpen, begrijpen, concretiseren en verwoorden van het doel van PD-verwerking door de exploitant, ook in gevallen waarin dergelijke doelen vooraf zijn bepaald en (of) voortvloeien uit de bepalingen van de wet of de bevoegdheden die zijn toegekend aan de exploitant.