Forskrift om å føre register over aktører som behandler personopplysninger. Register over personopplysningsoperatører til Roskomnadzor

Juridiske krav til operatøren av personopplysninger

Operatøren er forpliktet til å sikre konfidensialitet av personopplysninger. Artikkel 7 i den russiske føderasjonens føderale lov av 27. juli 2006 N 152-FZ "Om personopplysninger" (heretter FZ-152) sier at operatøren ikke er forpliktet til å beskytte personopplysninger hvis de er upersonlige eller offentlig tilgjengelige. Operatøren av personopplysninger har ikke rett til å behandle data uten samtykke fra subjektet for personopplysninger, det vil si personen som disse dataene tilhører. Imidlertid, i art. 6 del 2 FZ-152 åpner for en rekke tilfeller når samtykke fra subjektet ikke er nødvendig.
Spesielt er samtykke fra subjektet ikke nødvendig hvis personopplysningene hans behandles på grunnlag av føderal lov, som bestemmer formålet og innholdet for slik behandling (artikkel 6, paragraf 2, del 2). For eksempel, i henhold til føderal lov nr. ФЗ-3266-1 "On Education", trenger ikke nyutdannede ved videregående utdanningsinstitusjoner å samtykke til behandlingen av personopplysningene deres for opptak til Unified State Exam. Organer og organisasjoner involvert i Unified State Exam gjennomfører "...<…>personopplysninger om studenter, deltakere i den enhetlige statlige eksamen<…>i samsvar med kravene i lovgivningen til Den russiske føderasjonen innen personopplysninger uten å innhente samtykke fra disse personene til å behandle deres personopplysninger ”(Artikkel 15, punkt 5.1). April-utgaven av magasinet Personopplysninger inneholder mye materiale viet til nettopp dette problemet.
Et annet tilfelle når samtykke fra subjektet ikke er nødvendig for behandling av personopplysninger: utførelsen av en avtale, en av partene som er gjenstand for personopplysninger. For eksempel er enhver kontrakt mellom et selskap og en enkeltperson for levering av tjenester egnet. Et vell av nyttig informasjon om dette emnet finnes i spesialpressen. Operatøren skal også sørge for nødvendige organisatoriske og tekniske tiltak for å hindre forsøk på ulovlig tilgang til personopplysninger.

Påkrevde dokumenter

Hver operatør av personopplysninger må ha en pakke med dokumenter som bekrefter sikkerheten til personopplysninger til ansatte og kunder.

Listen over nødvendige dokumenter kan variere avhengig av detaljene for behandling av personopplysninger, organisasjonsstruktur og andre funksjoner i hver enkelt virksomhet.

I samsvar med denne dokumentpakken må bedriften implementere tekniske midler for å beskytte personopplysninger.

Utarbeidelse av dokumenter som kreves for beskyttelse av personopplysninger

Det er flere måter å utarbeide dokumenter i samsvar med kravene i 152-FZ "Om personopplysninger":

Rettsmidler

Nesten hver organisasjon har et informasjonssystem for personopplysninger (forkortet ISPDN), som for eksempel kan inneholde etternavn, fornavn på den ansatte, hans passdata, TIN osv. Operatøren arbeider med dette informasjonssystemet. Avhengig av hvilke data som finnes i ISPD-en til en bestemt organisasjon, kan denne ISPD-en tilhøre en av fire klasser, som hver gir forskjellige måter å beskytte personopplysninger på.

se også

Lenker

• www.rsoc.ru Register over operatører som behandler personopplysninger
• www.pd.rsoc.ru Portalen for personopplysninger til det autoriserte organet for beskyttelse av rettighetene til subjekter av personopplysninger
• www.privacy-journal.ru Informasjons- og analysetidsskrift "Personlige data"

Wikimedia Foundation. 2010.

Se hva en "Personal Data Operator" er i andre ordbøker:

Personopplysningsoperatør- 2) operatøren er et statlig organ, et kommunalt organ, en juridisk enhet eller en enkeltperson, uavhengig eller sammen med andre personer som organiserer og (eller) utfører behandlingen av personopplysninger, samt bestemmer formålene med behandlingen. .... Offisiell terminologi

Enhver handling (operasjon) eller et sett med handlinger (operasjoner) utført med bruk av automatiseringsverktøy eller uten bruk av slike verktøy med personlige data, inkludert innsamling, registrering, systematisering, akkumulering, lagring, ... ... Wikipedia

Emnet for personopplysninger er en person som er direkte eller indirekte definert eller bestemt ved hjelp av personopplysninger. Innhold 1 Interaksjon med emnet personopplysninger ... Wikipedia

Et sett med tiltak av teknisk, organisatorisk og organisatorisk teknisk art som tar sikte på å beskytte informasjon knyttet til en bestemt eller bestemt på grunnlag av slik informasjon en person (emne for personlig ... ... Wikipedia

Denne artikkelen eller delen beskriver situasjonen i forhold til kun én region. Du kan hjelpe Wikipedia ved å legge til informasjon for andre land og regioner. Innhold 1 Definisjon ... Wikipedia

Antall: 152 FZ Vedtatt av: Statsdumaen 26. juli 2006 Gjelder: 26. januar 2007 Den russiske føderasjonens føderale lov av 27. juli 2006 nr. 152 FZ "Om personopplysninger" føderal lov som regulerer behandlingsaktiviteter (bruk .. Wikipedia

Den grunnleggende modellen for trusler mot sikkerheten til personopplysninger under behandlingen av dem, i informasjonssystemer for personopplysninger (utdrag)- Terminologi Grunnleggende modell for trusler mot sikkerheten til personopplysninger under behandlingen av dem, i informasjonssystemer for personopplysninger (utdrag): Et automatisert system er et system som består av personell og et sett med automatiseringsverktøy for det ... ...

RETTIGHETER TIL PERSONOPPLYSNINGER NÅR DE TAR BESLUTNINGER PÅ GRUNNLAG AV EKSKLUSIVT AUTOMATISK BEHANDLING AV DERES PERSONOPPLYSNINGER- i henhold til den føderale loven "om personopplysninger" datert 27. juli 2006 nr. 152 FZ, skal forby adopsjon på grunnlag av utelukkende automatisert behandling av personopplysninger av beslutninger som gir opphav til juridiske konsekvenser i forhold til ... ...

operatør- 4.22 operatør: Et objekt som utfører operasjonen til et system. MERK 1 Operatørrollen og brukerrollen kan tildeles samtidig eller sekvensielt til samme person eller organisasjon. Merknad 2 I sammenheng med dette ... ... Ordbok-referansebok med vilkår for normativ og teknisk dokumentasjon

OPERATØR- i henhold til den føderale loven "om personopplysninger" datert 27. juli 2006 nr. 152 FZ, - et statlig organ, et kommunalt organ, en juridisk enhet eller en person som organiserer og/eller utfører behandlingen av personopplysninger, i tillegg som å bestemme målene ... Journalhåndtering og arkivering i termer og definisjoner

Arbeid med personopplysninger pålegger operatøren en rekke plikter. La oss vurdere noen av de mest betydningsfulle.

Varsle Roskomnadzor om oppstart av behandling av personopplysninger (). Slik melding må sendes til avdelingen før start av databehandling, og angi i den:

• navn (fullt navn), adresse til operatøren;
• formålet med å behandle personopplysninger;
• kategorier av personopplysninger;
• kategorier av emner hvis personopplysninger behandles;
• det juridiske grunnlaget for behandling av personopplysninger;
• en liste over handlinger med personopplysninger, en generell beskrivelse av metodene som brukes av operatøren for å behandle personopplysninger;
• beskyttelsestiltak for personopplysninger;
• Fullt navn på personen eller navnet på den juridiske enheten som er ansvarlig for å organisere behandlingen av personopplysninger, og deres kontakttelefonnumre, postadresser og e-postadresser;
• datoen for begynnelsen av behandlingen av personopplysninger;
• vilkåret eller betingelsen for å avslutte behandlingen av personopplysninger;
• data om tilstedeværelse eller fravær av grenseoverskridende overføring av personopplysninger i løpet av behandlingen av dem;
• informasjon om plasseringen av databasen med informasjon som inneholder personopplysninger om russere;
• informasjon om å sikre sikkerheten til personopplysninger i samsvar med kravene for beskyttelse av personopplysninger etablert av regjeringen i Den russiske føderasjonen (vi snakker spesielt om personopplysninger avhengig av sikkerhetstrusler, personopplysninger, implementeringen av hvilke sikrer de etablerte beskyttelsesnivåene for personopplysninger, samt teknologier for lagring av slike data utenfor informasjonssystemer for personopplysninger).

Samtidig er det situasjoner hvor det ikke er nødvendig å varsle Roskomnadzor om behandling av personopplysninger. Dette er for eksempel behandling av ansattes data fra arbeidsgiveren, mottakeren av klientens data ved inngåelse av en avtale med ham (hvis denne informasjonen ikke er gitt til tredjeparter uten samtykke fra subjektet og brukes utelukkende for gjennomføring av den spesifiserte avtalen), behandling av offentlig tilgjengelige personopplysninger, utstedelse av et enkelt pass for en person til operatørens territorium, bruk bare navnet på emnet, etc. ().

Sikre konfidensialitet av personopplysninger. Dette betyr at det er umulig å distribuere dem uten samtykke fra subjektet (). Denne forpliktelsen for personer som har tilgang til personopplysninger er en av de viktigste. Spesielt ved overføring av personopplysninger om ansatte, er arbeidsgiveren forpliktet:

• ikke å avsløre personopplysningene til den ansatte til en tredjepart uten hans skriftlige samtykke (bortsett fra tilfeller der det er nødvendig for å forhindre en trussel mot arbeidstakerens liv og helse, og i andre tilfeller fastsatt ved lov - for for eksempel ved overføring av data til FSS, FIU, skattemyndigheter, militærkommissariater, påtalemyndighet, rettshåndhevelsesbyråer, GIT, etc.);
• advare personene som mottar den ansattes personopplysninger om at denne informasjonen bare kan brukes til formålene de ble kommunisert for - dessuten kan arbeidsgiveren til og med kreve at slike personer bekrefter at denne regelen er overholdt;
• overføre personopplysninger til en ansatt i en organisasjon, med en individuell gründer i samsvar med en lokal forskriftslov, som den ansatte må være kjent med signaturen med;
• tillate tilgang til personopplysninger til ansatte bare til spesielt autoriserte personer, og de bør ha rett til å motta bare de ansattes data som er nødvendige for å utføre spesifikke funksjoner;
• ikke å be om informasjon om arbeidstakerens helsestatus, bortsett fra de opplysningene som er knyttet til spørsmålet om arbeidstakerens evne til å utføre arbeidsfunksjonen;
• å begrense informasjon som overføres til representanter for ansatte, bare de dataene til den ansatte som er nødvendige for å utføre disse representantene for deres funksjoner ().

Ta tiltak for å sikre sikkerheten til personopplysninger (). For dette bør organisasjonen utnevne en person som er ansvarlig for å organisere behandlingen av personopplysninger (). En slik person er forpliktet til å utøve intern kontroll over operatørens og dens ansattes overholdelse av kravene til beskyttelse av personopplysninger, informere ansatte om bestemmelsene, lokale handlinger om behandling av personopplysninger, og også organisere mottaket. og behandling av søknader og forespørsler fra subjekter av personopplysninger. I tillegg bør det for de samme formål anvendes tekniske tiltak for å ivareta behandlingens sikkerhet, samt utstedes dokumenter som bestemmer virksomhetens retningslinjer for behandling av personopplysninger mv.

Samtidig skal organisasjonen offentliggjøre retningslinjer for behandling av personopplysninger (). Den mest optimale måten er å legge ut dokumentet på operatørens nettside. Men i tilfelle når dette ikke er mulig, er det nok å installere en "lomme" med en policy på papir hvor som helst som er tilgjengelig for organisasjonens besøkende. Et unntak er gjort av operatører som samler inn personopplysninger direkte via Internett - de må publisere policyen på nettstedet og gi tilgang til det angitte dokumentet. På den offisielle nettsiden til Roskomnadzor kan du finne anbefalinger for å utarbeide retningslinjer for behandling av personopplysninger.

Ikke forveksle policyen, som hovedsakelig gjelder tredjeparter (motparter, kunder, etc.), med forordningen om beskyttelse, lagring, behandling og overføring av personopplysninger til ansatte - dette dokumentet, i motsetning til policyen, er en lokal normativ handle, derfor bør det ikke offentliggjøres. det er nødvendig, men det er nødvendig å gjøre ansatte kjent med det mot signaturen ().

RELATERTE MATERIALER

Les om hvilke problemer operatøren kan møte med å overholde kravene til lokalisering av personopplysninger og hvordan du løser dem mest effektivt i vårt materiale "".

Overhold kravene for lokalisering av personopplysninger til russere. Fra 1. september 2015 er alle operatører, når de samler inn personopplysninger, forpliktet til å sikre deres behandling ved å bruke databaser lokalisert i Russland (). Den såkalte lokaliseringen av personopplysninger forårsaket først stor resonans blant spesialister og operatører - lovens krav ble formulert på en slik måte at eksperter hadde mye. Blant dem er mangelen på klarhet om hvilke personopplysninger dette kravet vil gjelde, hvilke operatører det vil påvirke, om behandling av personopplysninger er tillatt samtidig på en russisk og en utenlandsk server, hvordan man bestemmer statsborgerskapet til en subjekt, etc. Roskomnadzor svarte på de fleste av disse spørsmålene allerede før nye lovkrav trådte i kraft. Så for eksempel ga avdelingen operatørene rett til uavhengig å bestemme spørsmålet om å bestemme statsborgerskapet til personen hvis data blir behandlet, eller å anvende lokaliseringskravet på personopplysningene til alle fag. I tillegg presiserte Roskomnadzor at i tilfelle det under innsamlingen av personopplysninger ble registrert i den russiske databasen, kan de behandles videre i en elektronisk database plassert utenfor landet.

Både i personopplysningspolitikken og i Forskrift om beskyttelse, lagring, behandling og overføring av personopplysninger om ansatte bør det foreskrives at operatøren ved innsamling av personopplysninger forplikter seg til å sørge for registrering, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), utvinning av personopplysninger russere bruker databaser lokalisert på Russlands territorium, og angi også plasseringen av en slik database.

Rettidig stoppe behandlingen av personopplysninger. Hvis formålet med å behandle personopplysninger er oppnådd eller subjektet har trukket tilbake samtykket til behandlingen av dem, må operatøren slutte å behandle disse dataene og slette dem innen 30 dager, med mindre en annen periode er spesifisert i avtalen ().

Hvordan organisere behandlingen av personopplysninger til ansatte. Register over operatører av personopplysninger til Roskomnadzor. Hvordan få den ansattes samtykke til behandlingen av hans personopplysninger.

Spørsmål: Er det kommunale enhetsforetaket forpliktet til å registrere seg i registeret over operatører av personopplysninger til Roskomnadzor, og også å utvikle et sett med dokumenter om beskyttelse av personopplysninger?

Svar: Ja, MUP er forpliktet til å registrere seg i registeret over personopplysningsaktører, samt å utvikle et sett med dokumenter om beskyttelse av personopplysninger, dersom MUP ansetter ansatte og MUP behandler deres personopplysninger eller MUP behandler personopplysningene av ulike individer (klienter, partnere).

Berettigelse

Hvordan organisere behandlingen av personopplysninger til ansatte

Personopplysningskonsept

Hvilke personopplysninger om en ansatt har organisasjonen rett til å motta?

Offentlige personopplysninger

Et spørsmål fra praksis: hvilke personopplysninger som anses som offentlig tilgjengelige

Offentlig tilgjengelig informasjon er allment kjent informasjon og annen informasjon som tilgangen ikke er begrenset til. Slik informasjon kan brukes av enhver person etter eget skjønn, underlagt lovfestede restriksjoner på distribusjon. Dette fremgår av paragrafene artikkel 7 i lov av 27. juli 2006 nr. 149-FZ.

Offentlig tilgjengelige personopplysninger – data som personopplysningsobjektet har laget som sådan. Offentlig tilgjengelige personopplysninger kan omfatte informasjon tilgjengelig for et ubegrenset antall personer (for eksempel data fra åpne kataloger, adressebøker osv.).

Siden alle har tilgang til dem, krever de ikke lenger spesiell beskyttelse.

Ved behandling av slike data trenger ikke operatøren å varsle det autoriserte organet for beskyttelse av rettighetene til personopplysninger (klausul 4 i del 2 av artikkel 22 i lov av 27. juli 2006 nr. 152-FZ).

Samtykke til behandling av personopplysninger

Hvordan få den ansattes samtykke til behandlingen av hans personopplysninger

I løpet av virksomheten må arbeidsgiver behandle personopplysninger til ansatte. Behandlingen av slike data, med unntak av enkelttilfeller, skjer kun med skriftlig samtykke fra de ansatte. I dette tilfellet må samtykket inneholde følgende informasjon:

• etternavn, fornavn, patronym, adresse til den ansatte, detaljer om passet (annet dokument som beviser hans identitet), inkludert informasjon om utstedelsesdatoen for dokumentet og utstedende myndighet;

• navn eller etternavn, fornavn, patronym og adresse til arbeidsgiveren (operatøren) som mottar den ansattes samtykke;
• formålet med å behandle personopplysninger;
• en liste over personopplysninger for behandlingen som det gis samtykke til;
• navn eller etternavn, fornavn, patronym og adresse til den som behandler personopplysninger på vegne av arbeidsgiver, dersom behandlingen er overlatt til en slik person;
• en liste over handlinger med personopplysninger for å utføre samtykket, en generell beskrivelse av metodene for behandling av personopplysninger som brukes av arbeidsgiveren;
• perioden hvor den ansattes samtykke er gyldig, samt metoden for tilbaketrekking, med mindre annet er bestemt av føderal lov;
• ansattes signatur.

Slike krav er nedfelt i del 4

Hvis den ansatte er ufør, gis skriftlig samtykke til behandlingen av hans personopplysninger av hans juridiske representant: forelder, verge (del 6 av artikkel 9 i lov av 27. juli 2006 nr. 152-FZ).

Arbeidstakeren kan når som helst tilbakekalle samtykket til behandlingen av personopplysningene hans ved å sende et vilkårlig svar til arbeidsgiveren. I en slik situasjon har organisasjonen rett til å fortsette å behandle personopplysninger uten samtykke fra den ansatte, med forbehold om begrensningene spesifisert i paragraf 2-11 i del 1 i artikkel 6, del 2 i artikkel 10 og del 2 i artikkel 11 av loven av 27. juli 2006 nr. 152-FZ, for eksempel for å administrere rettferdighet eller beskytte den ansattes liv (helse). Dette fremgår av del 2 av artikkel 9 i lov av 27. juli 2006 nr. 152-FZ.

Det skal bemerkes at i tilfelle en tvist påhviler plikten til å fremlegge bevis for at arbeidstakerens samtykke til behandlingen av hans personopplysninger er mottatt hos arbeidsgiveren (del 3 av artikkel 9 i lov av 27. juli 2006 nr. 152-FZ).

Med samtykke fra den ansatte har organisasjonen også rett til å overlate behandlingen av personopplysninger til en annen person (del 3 av artikkel 6 i lov av 27. juli 2006 nr. 152-FZ). I dette tilfellet vil arbeidsgiveren fortsette å bære ansvaret overfor arbeidstakeren for handlingene til den spesifiserte personen, og personen som behandler personopplysninger på vegne av arbeidsgiveren vil være ansvarlig direkte overfor arbeidsgiveren (del 5 av artikkel 6 i loven). av 27. juli 2006 nr. 152- FZ).

Det skal bemerkes at arbeidsgiveren må innhente samtykke til behandling av personopplysninger ikke bare fra ansatte, det vil si personer han er i arbeidsforhold med, men også fra søkere, samt fra personer som det er inngått sivilrettslige kontrakter med. konkludert i organisasjonen. Dette fremgår av paragraf 5 i avklaringene til Roskomnadzor av 14. desember 2012 nr.

Universelt samtykke

Et spørsmål fra praksis: Er det mulig, ved inngåelse av en arbeidsavtale, å innhente skriftlig samtykke fra en ansatt til å gi sine personopplysninger til tredjeparter i alle nødvendige situasjoner frem til oppsigelsesøyeblikket

Nei.

For overføring av ansattes data til tredjeparter, må organisasjonen innhente skriftlig samtykke fra denne ansatte. Uten skriftlig samtykke fra den ansatte, kan personopplysningene hans overføres til tredjeparter når det er nødvendig for å forhindre trusler mot den ansattes liv og helse, og i andre tilfeller gitt av føderale lover. Slike regler er fastsatt av del 1 av artikkel 88 i den russiske føderasjonens arbeidskode.

Den russiske føderasjonens arbeidskode inneholder ikke krav til innholdet i skriftlig samtykke til overføring av data. Imidlertid fastslår paragraf 1 i artikkel 9 i lov av 27. juli 2006 nr. 152-FZ at samtykke til behandling av personopplysninger må være spesifikt, informert og samvittighetsfullt. Det følger av dette at organisasjonen må be om skriftlig samtykke fra den ansatte for hvert tilfelle av overføring av hans personopplysninger til en tredjepart. Kun under slike forutsetninger kan kravet til samtykkets konkrethet og samvittighetsfullhet anses oppfylt. Listen over informasjon som må inneholdes i et skriftlig samtykke til overføring av personopplysninger er fastsatt i paragraf 4 i artikkel 9 i loven av 27. juli 2006 nr. 152-FZ.

Behandling av personopplysninger til utøvere i henhold til statlig registrering

Et spørsmål fra praksis: om det er nødvendig å innhente skriftlig samtykke til behandling av personopplysninger til borgere som det er inngått sivilrettslige kontrakter med

Ja, generelt er det nødvendig, på samme måte som med vanlige ansatte.

Behandling av personopplysninger er kun mulig med skriftlig samtykke fra personen som har personopplysninger, med unntak av visse tilfeller når slik behandling er mulig uten deres samtykke (). I dette tilfellet kan emnene for personopplysninger være både ansatte som arbeider under en arbeidskontrakt og borgere som organisasjonen har inngått sivilrettslige kontrakter med.

Derfor må organisasjonen, i det generelle tilfellet, innhente samtykke til behandling av personopplysninger, inkludert borgere som det er inngått sivilrettslige kontrakter med, for å utelukke eventuelle tvister angående uautorisert dataoverføring utenfor gyldigheten av vilkårene i det sivile. lovkontrakt.

Entreprenørens avslag på å gi slikt samtykke er ikke til hinder for inngåelse av sivil kontrakt.

Databehandling uten samtykke

I hvilke tilfeller kreves ikke den ansattes samtykke til overføring av personopplysninger

I noen tilfeller er behandling av personopplysninger mulig uten samtykke fra den ansatte. For eksempel, hvis behandlingen av personopplysninger er nødvendig for å oppfylle en kontrakt som er inngått med en ansatt eller for å oppnå målene fastsatt i loven for implementering og oppfyllelse av funksjonene, maktene og pliktene som er pålagt av lovgivningen i Russland på operatør, kan det utføres uten samtykke fra den ansatte - gjenstand for personopplysninger. Dette står i lov av 27. juli 2006 nr. 152-FZ.

Slike tilfeller inkluderer overføring av informasjon til:

• Den russiske føderasjonens pensjonsfond ();
• skattemyndighetene ();
• militærkommissariater ();
• andre myndigheter, når plikten til å overføre til dem informasjon knyttet til personopplysningene til en ansatt er tildelt arbeidsgiveren ved lov eller er nødvendig for å oppnå mål fastsatt ved lov (for eksempel domstoler, påtalemyndigheter, etc.).

I tillegg er samtykke ikke nødvendig i følgende tilfeller:

• plikten til å behandle er fastsatt ved lov, inkludert publisering og plassering av personopplysninger om ansatte på Internett (for eksempel lov av 21. november 2011 nr. 323-FZ, lov av 9. februar 2009 nr. 8 -FZ og en rekke andre handlinger);
• behandling av personopplysninger til nære slektninger til den ansatte utføres i beløpet som er gitt av det personlige kortet (i henhold til det enhetlige skjemaet nr. T-2 eller et uavhengig utviklet skjema), så vel som i tilfeller av mottak av underholdsbidrag, registrering av sosiale ytelser og adgang til statshemmeligheter;
• behandling av informasjon om helsestatusen til en ansatt refererer til spørsmålet om muligheten for å utføre jobbfunksjonen sin;
• databehandling er knyttet til utførelsen av den ansattes offisielle plikter, inkludert under hans utplassering;
• behandling av personopplysninger utføres når du implementerer tilgangskontroll til territoriet til kontorbygg og lokaler til arbeidsgiveren, forutsatt at organiseringen av tilgangskontrollen utføres av arbeidsgiveren uavhengig.

Hvis det lokale dokumentet gir muligheter for oppgjør med ansatte, eller til og med dette øyeblikket ikke er stavet i det hele tatt, har ansatte rett til uavhengig å bestemme om de vil motta lønnen sin gjennom kassereren eller til et bankkort. Og hvis arbeidsgiveren bestemmer seg for å overføre lønn til alle ansatte til bankkort, bør hver ansatt bes om samtykke til behandling av personopplysninger og overføring av dem til en tredjepart - en bank. I en slik situasjon har ansatte rett til å nekte samtykke, og arbeidsgiver vil i mangel av slikt samtykke ikke kunne fortsette å behandle data og overføre informasjon til banken om de ansatte som nektet.

Mer om temaet: Trenger jeg å innhente samtykke fra ansatte til å behandle personopplysninger når jeg skifter bank for å overføre lønn.

Et spørsmål fra praksis: om det er nødvendig å innhente samtykke fra ansatte for behandling av personopplysninger når du skifter bank for å overføre lønn

Nei, det er ikke nødvendig, forutsatt at den spesifikke banken som dataene ble gitt til ikke var angitt i de allerede eksisterende samtykkene. Hvis det tidligere samtykket ble utarbeidet for en bestemt bank, vil arbeidsgiveren måtte innhente et nytt samtykke i henhold til de generelle reglene ().

I tillegg er det ikke nødvendig å innhente samtykke hvis de lokale dokumentene til organisasjonen sørger for betaling av lønn til bankkort og den ansatte ble kjent med disse dokumentene under opptak eller under arbeid (del 2 av artikkel 9 i lov av 27. juli 2006 nr. 152- FZ). Se detaljer.

Roskomnadzor-varsel

Hvordan varsle tilsynsmyndigheten om oppstart av behandling av personopplysninger til ansatte

Før du starter behandlingen av personopplysninger til ansatte, må arbeidsgiveren varsle Roskomnadzors territorielle myndighet om sin intensjon om å behandle dem. Det er gjort unntak for behandling av personopplysninger:

• behandlet i samsvar med arbeidslover;
• gjort offentlig tilgjengelig av ansatte;

• mottatt av organisasjonen i forbindelse med inngåelse av en avtale som arbeidstakeren er part i (forutsatt at personopplysninger ikke spres, og ikke gis til tredjeparter uten samtykke fra arbeidstakeren og brukes av arbeidsgiver utelukkende for utførelse av den angitte avtalen og inngåelse av andre avtaler med den ansatte);
• knyttet til medlemmer (deltakere) av en offentlig forening eller religiøs organisasjon;
• inkludert bare etternavn, navn og patronymer til ansatte;
• nødvendig for formålet med en engangspassering av en ansatt til arbeidsgiverens territorium og for andre lignende formål;
• inkludert i informasjonssystemer for personopplysninger, som, i samsvar med føderale lover, har status som statlige automatiserte informasjonssystemer, samt i statlige informasjonssystemer med personopplysninger opprettet for å beskytte statens sikkerhet og offentlig orden;
• behandles uten bruk av automatiseringsverktøy i samsvar med lover som fastsetter krav for å sikre sikkerheten til personopplysninger under behandlingen og for å overholde rettighetene til subjekter av personopplysninger;
• behandlet i saker fastsatt av lovgivningen i Russland om transportsikkerhet.

Ved opphør av behandlingen av personopplysninger plikter arbeidsgiver også å varsle dette til autoriserte organ. Dette må gjøres innen ti virkedager fra datoen for opphør av databehandlingen. Standardskjemaet for melding om avslutning av databehandling er ikke godkjent, derfor kan arbeidsgiveren utarbeide det i hvilken som helst form ().

Et spørsmål fra praksis: hva som skal forstås som behandling av personopplysninger til en ansatt

Beskyttelse av personopplysninger

Hvordan organisere beskyttelsen av personopplysninger til ansatte i en organisasjon

For å forhindre avsløring av personopplysninger, lag et pålitelig system for beskyttelse av dem. Prosedyren for mottak, behandling, overføring og lagring av slik informasjon er fastsatt i organisasjonens lokale handling, for eksempel i (Art., Arbeidskodeksen til den russiske føderasjonen,). Stillingen godkjennes av organisasjonens leder. Introduser det til de ansatte i organisasjonen under signaturen, som angitt i del 1 av artikkel 86 i den russiske føderasjonens arbeidskode.

Organisasjonen må også utnevne en person som er ansvarlig for å arbeide med personopplysninger (del 5 av artikkel 88 i den russiske føderasjonens arbeidskode). Som regel er en slik ansatt en ansatt i personaltjenesten, siden det er han som i løpet av sitt arbeid oftest kommer over personopplysningene til ansatte. Personen som er ansvarlig for å arbeide med personopplysninger, utpeker en ordre i enhver form.

Spesifikke tiltak for å sikre sikkerheten til ansattes personopplysninger under deres behandling er fastsatt i loven av 27. juli 2006 nr. 152-FZ og kravene godkjent. På grunnlag av dem kan organisasjonen utvikle sitt eget personopplysningssystem.

Så når du behandler personopplysninger i et informasjonssystem, er det nødvendig å sikre beskyttelse og sikkerhet for personopplysninger. Samtidig er en trussel mot sikkerheten til personopplysninger et sett med forhold og faktorer som skaper fare for uautorisert (inkludert utilsiktet) tilgang til personopplysninger under behandlingen av dem i systemet, noe som kan resultere i:

• ødeleggelse;
• forandringen;
• blokkering;
• kopiering;
• forsyning;
• Spre;
• andre ulovlige handlinger med personopplysninger.

Det skal bemerkes at valget av spesifikke informasjonsbeskyttelsesmidler for informasjonssystemet for behandling av personopplysninger utføres av arbeidsgiveren i samsvar med forskriftene til FSB i Russland og FSTEC i Russland. Fastsettelse av typen trusler mot sikkerheten til personopplysninger som er relevante for systemet for behandling og beskyttelse av personopplysninger, gjøres under hensyntagen til vurdering av mulig skade og i samsvar med regelverket til ovennevnte organer (klausul, Krav godkjent av regjeringen i den russiske føderasjonen av 1. november 2012 nr. 1119).

Ved behandling av personopplysninger i systemer kan det etableres fire sikkerhetsnivåer, avhengig av datakategori og antall ansatte, informasjon som systemet inneholder. Avhengig av sikkerhetsnivået, bør arbeidsgiver treffe ulike tiltak for å beskytte personopplysningssystemene som er gitt i paragraf 13-16 i Kravene godkjent av RF regjeringsdekret av 1. november 2012 nr. 1119. For eksempel etablering av et regime for å sikre sikkerheten til lokalene der personopplysninger befinner seg, utnevnelse av personer som er ansvarlige for å sikre sikkerheten til personopplysninger i informasjonssystemet osv. og tekniske tiltak godkjent etter ordre fra FSTEC av Russland datert 18. februar 2013 nr. 21.

For å kontrollere sikkerheten til personopplysninger under behandlingen, utfører arbeidsgiveren eller hans autoriserte person, minst en gang hvert tredje år, kontrollsjekker, de spesifikke vilkårene som arbeidsgiveren bestemmer uavhengig. Om nødvendig kan organisasjoner eller individuelle gründere med lisens til å utføre aktiviteter for teknisk beskyttelse av konfidensiell informasjon være involvert i revisjonen på kontraktsbasis (klausul 17 i kravene godkjent av regjeringen i Den russiske føderasjonen av 1. november 2012 nr. 1119).

Personopplysningsregulering

Et spørsmål fra praksis: er Forskrift om arbeid med personopplysninger om ansatte et obligatorisk dokument

Ja, det er det.

Prosedyren for lagring, behandling og bruk av personopplysninger til ansatte er etablert av arbeidsgiveren, under hensyntagen til kravene i den russiske føderasjonens arbeidskode og andre føderale lover (). Dette betyr at arbeidsgiveren uavhengig må bestemme prosedyren for slik behandling og fastsette den i en lokal forskriftslov, spesielt forskriften om arbeid med personopplysninger om ansatte. Ved ansettelse må alle ansatte i organisasjonen gjøres kjent med forskriftene under deres signatur (del 3 av artikkel 68 i den russiske føderasjonens arbeidskode).

Basert på ovenstående følger det at forskriften om arbeidet med personopplysninger er et obligatorisk dokument fra organisasjonen, og fraværet medfører administrativt ansvar (). Dette er også indikert av domstolene (se for eksempel resolusjonen fra den føderale antimonopoltjenesten i Moskva-distriktet av 26. oktober 2006 nr. KA-A40 / 10220-06).

Et eksempel på utarbeidelse av Forskrift om arbeid med personopplysninger om ansatte

Organisasjonssjefen godkjente Forskrift om arbeid med personopplysninger om ansatte.

Det er ingen personaltjeneste i organisasjonen. Regnskapsføreren i organisasjonen, V.N. Zaitsev.

Et spørsmål fra praksis: hvordan beskytte personopplysninger i en datadatabase

For å forhindre uautorisert tilgang til personopplysninger som ligger i en datadatabase, fastsettes prosedyren for beskyttelse av slik informasjon i forordningen. Jo høyere risiko for uautorisert tilgang til personopplysninger er, desto flere tiltak må det iverksettes for å beskytte slik informasjon. En organisasjon kan for eksempel innføre et system med individuelle passord som vil endres med jevne mellomrom, begrense ansattes tilgang til datamaskiner som lagrer personlige data, lagre disker og disketter med slik informasjon i skap.

Behandlingen av personopplysninger i informasjonssystemet må utføres i samsvar med bestemmelsene i klausulene 8-16 i kravene godkjent av dekretet fra regjeringen i Den russiske føderasjonen av 1. november 2012 nr. 1119.

Organisasjonen kan sikre beskyttelse av personopplysninger både uavhengig og med involvering av tredjepartsorganisasjoner som har lisens til å utføre aktiviteter for å beskytte konfidensiell informasjon. Slike avklaringer er gitt i klausul 17 i kravene godkjent ved dekret fra regjeringen i Den russiske føderasjonen av 1. november 2012 nr. 1119.

Et spørsmål fra praksis: Er det mulig for ansatte som ikke jobber i personaltjenesten å gis rett til innsyn i andre ansattes personopplysninger

Ja, det kan du, hvis tilgang til slik informasjon er nødvendig for at ansatte skal utføre visse arbeidsfunksjoner.

Kun særskilt autoriserte personer som trenger slik tilgang for å utføre spesifikke funksjoner kan ha tilgang til personopplysningene til ansatte. Dette står i den russiske føderasjonens arbeidskode.

Som regel, på grunn av aktivitetens spesifikasjoner, bør tilgang til personopplysninger til ansatte ha:

• personell servicepersonell;
• regnskap ansatte;
• daglig leder og, om nødvendig, hans stedfortredere;
• avdelingsledere og nærmeste ledere.

Samtidig tildeles hver av de angitte kategoriene ansatte sitt eget tilgangsnivå. Så for eksempel kan regnskapsansatte gis tilgang til adressedataene til ansatte og deres sivilstatus, avdelingsledere - når det gjelder personlig informasjon eksklusivt for deres underordnede.

Tilgangsnivåene til visse personer, så vel som den spesifikke prosedyren for overføring av personopplysninger til ansatte i organisasjonen, bør presiseres i dens lokale dokumenter, for eksempel i forordningen om beskyttelse av personopplysninger om ansatte (punkt 5 i artikkel 88 i den russiske føderasjonens arbeidskode). Autoriserte personer må være kjent med bestemmelsene i dokumentet og advaret om deres rettigheter og plikter, samt ansvar for upassende bruk av informasjon ().

Råd: vilkårene for plassering av personopplysninger om ansatte på bedriftens nettside nedskrives i Forskrift om arbeid med personopplysninger. På samme tid, send en søknad til den, som angir en liste over ansatte som er enige (eller uenige) om plassering av personopplysninger. Dermed vil kravet være oppfylt, og organisasjonen vil kunne legge inn personopplysninger til ansatte som samtykker i slik plassering på bedriftens nettside.

For å sikre rettighetene til sine ansatte, må organisasjonen og dens representanter, når de behandler personopplysninger, overholde kravene regulert av den russiske føderasjonens arbeidskode. Personer som er skyldige i brudd på reglene for beskyttelse av personopplysninger blir stilt til administrativt og strafferettslig ansvar (). Eller de kan avskjediges med ordlyden "for å avsløre personopplysningene til en annen ansatt på grunnlag av ledd" c "i paragraf 6 i del 1 av artikkel 81 i den russiske føderasjonens arbeidskode."

Et spørsmål fra praksis: om lederen av strukturenheten har rett til å kreve fra regnskapsavdelingen å gi månedlig informasjon om påløpte lønn til ansatte som er underlagt ham

Informasjon om beløpene som påløper ansatte refererer til personopplysninger (klausul 1 i artikkel 3 i lov av 27. juli 2006 nr. 152-FZ). Den nærmeste lederen kan be om dem hvis det er etablert riktig opptak i den lokale reguleringsloven og den ansattes samtykke til behandlingen av personopplysningene hans er innhentet.

Samtidig inneholder informasjon om lønn og godtgjørelser til ansatte bemanningstabellen. Bemanningstabellen er et lokalt dokument fra organisasjonen og gjelder ikke for personopplysninger. Lederen for den strukturelle enheten kan om nødvendig referere til dette dokumentet, hvis det er gitt i stillingsbeskrivelsen til lederen eller en lokal handling fra organisasjonen. Dette vil tillate ham å få den nødvendige informasjonen uten å kontakte regnskapsavdelingen.

Nekter å behandle data

Et spørsmål fra praksis: hva du skal gjøre hvis en person nekter å samtykke til behandlingen av personopplysningene hans

Organisasjonen har rett til å fortsette å behandle en persons personopplysninger uten hans samtykke dersom det foreligger visse grunner. Samtidig er volumet av slik behandling stort nok og lar organisasjonen utføre dagens aktiviteter uten avbrudd.

Spesielt kan arbeidsgiveren ikke kreve samtykke til behandling av personopplysninger fra søkere for å inngå en arbeids- og sivilrettskontrakt, sende personlige rapporter til organene til Pensjonsfondet i Den russiske føderasjonen, skatterapporter til Russlands føderale skattetjeneste , opplysninger om militærtjenestepliktige overfor militære kommissariater, samt oppbevaring av dokumenter med personopplysninger, herunder arbeids- og sivile kontrakter, personlige kort, personlige filer etc. Det vil si når arbeidsgiver oppfyller de forpliktelser som er pålagt ham iht. lov.

Slike regler er fastsatt i paragraf 2-11 i del 1 av artikkel 6, del 2 av artikkel 10 og del 2 av artikkel 11 i lov av 27. juli 2006 nr. 152-FZ.

For å utføre alle andre handlinger i organisasjonen, er det nødvendig å innhente samtykke fra personen til behandlingen av hans personopplysninger (del 4 av artikkel 9 i loven av 27. juli 2006 nr. 152-FZ).

Merk følgende: gjeldende lovgivning forplikter ikke en person til å samtykke til behandling av personopplysninger, derfor kan hans avslag ikke anses som et brudd og en grunn til å nekte å inngå en avtale. En heltidsansatt kan heller ikke sies opp eller bringes til annet disiplinæransvar for å nekte å gi samtykke til behandling av personopplysninger.

Et spørsmål fra praksis: hva du skal gjøre hvis en ansatt nekter å oppgi personopplysninger om familiemedlemmer for å fylle ut personaldokumenter

Anonymisering av personopplysninger forstås som handlinger som et resultat av at det blir umulig å bestemme eierskapet av personopplysninger til en bestemt person uten å bruke tilleggsinformasjon ().

Hvis det er nødvendig å depersonalisere personopplysninger, godkjenner organisasjonssjefene:

• regler for arbeid med anonymiserte data;
• en liste over stillinger til ansatte som er ansvarlige for å utføre tiltak for å depersonalisere de behandlede personopplysningene.

Slike regler er fastsatt i underavsnitt "b" i paragraf 1 av listen godkjent ved dekret fra regjeringen i Den russiske føderasjonen av 21. mars 2012 nr. 211.

Spesifikke krav og metoder for depersonalisering av personopplysninger som behandles i informasjonssystemer er fastsatt i Krav og metoder godkjent etter ordre fra Roskomnadzor datert 5. september 2013 nr. 996.

Hovedkravet for anonymisering av personopplysninger er å sikre ikke bare beskyttelse mot uautorisert bruk, men også muligheten for behandling av dem. For dette må anonymiserte data ha egenskaper som bevarer hovedkjennetegnene ved anonymiserte personopplysninger. Disse egenskapene inkluderer spesielt:

• fullstendighet, det vil si bevaring av all informasjon om spesifikke personer eller grupper av mennesker som var tilgjengelig før depersonalisering;
• strukturerthet, det vil si bevaring av strukturelle koblinger mellom upersonlige data til en bestemt person eller gruppe mennesker som eksisterte før anonymisering;
• anvendelighet, det vil si muligheten til å løse problemer med å behandle personopplysninger uten først å depersonalisere hele volumet av poster om mennesker;
• anonymitet, det vil si umuligheten av entydig identifikasjon av datasubjekter oppnådd som et resultat av anonymisering, uten bruk av tilleggsinformasjon.

Hovedkravene for metoder for anonymisering av personopplysninger er:

• sikre de nødvendige egenskapene til anonymiserte data;
• samsvar med kravene til egenskapene til metodene;
• implementering av metoder i ulike programmer;
• løse de tildelte oppgavene med å behandle personopplysninger.

De mest lovende og praktiske for praktisk bruk inkluderer følgende metoder for depersonalisering:

• metoden for å introdusere identifikatorer, det vil si å erstatte en del av informasjonen om personopplysninger med identifikatorer med opprettelse av en tabell over korrespondanse av identifikatorer til de originale dataene;
• en metode for å endre sammensetningen eller semantikken, det vil si å endre sammensetningen eller semantikken til personopplysninger ved å erstatte resultatene av statistisk behandling, generalisere eller slette deler av informasjonen;
• dekomponeringsmetode, det vil si å dele en rekke personlige data i flere deler med påfølgende separat lagring;
• blandingsmetode, det vil si omorganisering av individuelle poster, samt grupper av poster i rekken av personopplysninger.

For å sikkert arbeide med personopplysninger til ansatte har kommersielle organisasjoner også rett til, men er ikke forpliktet til å engasjere seg i depersonalisering (klausul 3 i artikkel 3 i lov av 27. juli 2006 nr. 152-FZ). Hvis en organisasjon bestemmer seg for å depersonalisere personopplysninger, må en spesifikk metode for depersonalisering være nedfelt i en lokal lov, for eksempel i forordningen om arbeid med personopplysninger om ansatte (Art., Arbeidskodeksen til den russiske føderasjonen,).

Verifikasjon av overholdelse av kravene til behandling av personopplysninger

Hvordan gjennomføres kontroller av etterlevelse av kravene til behandling av personopplysninger?

Roskomnadzor foretar inspeksjoner hos arbeidsgiver angående behandling av personopplysninger. Etter ordre fra departementet for telekom og massekommunikasjon i den russiske føderasjonen nr. 312 datert 14. november 2011, ble de administrative forskriftene for utførelse av funksjonene til statlig kontroll (tilsyn) av denne tjenesten godkjent.

Gjenstanden for kontroll over arbeidsgiverens aktiviteter i behandlingen av personopplysninger er:

• dokumenter, arten av informasjonen som antyder eller tillater inkludering av personopplysninger;
• informasjonssystemer for personopplysninger;
• behandlingsaktiviteter.

Roskomnadzor gjennomfører både planlagte og ikke-planlagte inspeksjoner i form av dokumentar- eller stedlige inspeksjoner (lov av 26. desember 2008 nr. 294-FZ). Rettighetene og forpliktelsene til Roskomnadzor-tjenestemenn under inspeksjoner bestemmes henholdsvis av klausuler og administrative forskrifter godkjent etter ordre fra departementet for telekom og massekommunikasjon i Russland datert 14. november 2011 nr. 312.

Vilkårene for å kontrollere arbeidsgivers aktiviteter i behandlingen av personopplysninger under både planlagte og uplanlagte kontroller kan ikke overstige 20 virkedager. Samtidig, for små bedrifter, kan den totale perioden med planlagte inspeksjoner på stedet ikke overstige per år:

• 50 timer - for en liten bedrift;
• 15 timer - for en mikrobedrift.

I unntakstilfeller kan perioden for å gjennomføre en planlagt inspeksjon på stedet forlenges, men med ikke mer enn 20 virkedager, og for små- og mikrobedrifter - med ikke mer enn 15 timer. Dette er mulig hvis det under inspeksjonen blir nødvendig å utføre:

• kompleks og langvarig forskning, tester;
• spesielle undersøkelser og undersøkelser.

Kun de ansatte som har påtatt seg forpliktelser til å følge reglene for arbeid med personopplysninger og har brutt dem kan ilegges disiplinæransvar (). Ansvar kan oppstå hvis det på grunn av brudd på reglene for arbeid med personopplysninger til organisasjonen forårsakes direkte faktisk skade ().

For brudd på prosedyren for innsamling, lagring, bruk eller distribusjon av personopplysninger vil organisasjonen og dens tjenestemenn bli bøtelagt. Innenfor rammen av ett tilsyn kan Roskomnadzor avdekke flere ulike brudd. Da vil han belaste flere bøter på en gang.

Bøtebeløpet avhenger av typen lovbrudd som er begått. Dermed kan tjenestemenn bøtelegges i mengden 3 000 til 20 000 rubler, individuelle gründere - i mengden 5 000 til 20 000 rubler, en organisasjon - i mengden 15 000 til 75 000 rubler. For mer informasjon om straffereaksjoner for brudd på personopplysninger, se tabellen.

Slike ansvarstiltak er fastsatt i artikler og den russiske føderasjonens kode for administrative lovbrudd.

Straffansvar for organisasjonens leder (en annen person som er ansvarlig for å arbeide med personopplysninger) kan oppstå for ulovlig:

• innsamling eller spredning av informasjon om privatlivet til en ansatt, som utgjør hans personlige eller familiehemmelighet, uten hans samtykke;
• spredning av denne informasjonen i en offentlig tale, offentlig vist verk eller massemedier.

Følgende ansvarstiltak er tenkt for disse bruddene:

• en bot på opptil 200 000 rubler. (eller i mengden av domfeltes inntekt i en periode på opptil 18 måneder);
• obligatorisk arbeid i opptil 360 timer;
• kriminalomsorg i opptil ett år;
• tvangsarbeid i inntil to år med eller uten fratakelse av retten til å inneha visse stillinger eller engasjere seg i visse aktiviteter i inntil tre år;
• arrestasjon i opptil fire måneder;
• fengsel inntil to år med fratakelse av retten til å inneha visse stillinger eller drive visse aktiviteter i inntil tre år.

I dette tilfellet blir de samme handlingene begått av en person som bruker sin offisielle stilling straffet:

• en bot på 100 000 til 300 000 rubler. (eller i mengden av domfeltes inntekt i en periode fra ett til to år);
• fratakelse av retten til å inneha visse stillinger eller delta i visse aktiviteter i en periode på to til fem år;
• tvangsarbeid i inntil fire år, med eller uten fratakelse av retten til å inneha visse stillinger eller delta i visse aktiviteter i opptil fem år;
• arrestasjon for en periode på fire til seks måneder;
• fengsel inntil fire år med fratakelse av retten til å inneha visse stillinger eller drive visse aktiviteter i inntil fem år.

Et spørsmål fra praksis: Er det mulig å gi et vilkår om ikke-utlevering av taushetsbelagte opplysninger i arbeidskontraktene til ansatte

Ja det kan du.

Men bare i forhold til de ansatte som direkte jobber med personopplysninger: personalansvarlige, personalledere, sekretærer (). I dette tilfellet, når du søker jobb, gjør du arbeidstakeren kjent med Forordningen om arbeid med personopplysninger.

Et spørsmål fra praksis: er det mulig å formidle informasjon om den ansattes arbeid i organisasjonen på telefon til representanter for andre selskaper, for eksempel banker

Ja, du kan, men bare med skriftlig samtykke fra den ansatte selv.

Personopplysninger er forstått som all informasjon direkte eller indirekte knyttet til en bestemt person (emnet for personopplysninger) (del 1 av artikkel 3 i lov av 27. juli 2006 nr. 152-FZ). Samtidig er listen over personopplysninger ikke uttømmende, det vil si at all informasjon knyttet til en bestemt person er hans personlige data. Dermed er arbeidsstedet og selve arbeidsforholdet som er forespurt fra en organisasjon, for eksempel av en kredittinstitusjon for å bekrefte faktumet av arbeidet eller av en potensiell arbeidsgiver om en tidligere ansatt, personopplysninger. Derfor er det mulig å overføre data om en ansatt til andre organisasjoner bare i samsvar med de generelle kravene for behandling av personopplysninger, det vil si bare med samtykke fra den ansatte selv (klausul 3 i del 1 av artikkel 86 i Den russiske føderasjonens arbeidskode).

Det er således mulig å gi opplysninger om ansattes arbeid per telefon til uidentifiserte personer, inkludert de som representerer bankens spesialister, men kun med skriftlig samtykke fra den ansatte selv, uavhengig av om han fortsetter å jobbe i organisasjonen. eller har allerede sluttet.

Et spørsmål fra praksis: Er arbeidsgiveren på forespørsel fra namsmannen forpliktet til å rapportere om arbeidet i organisasjonen til den ansatte-debitor

Faktumet om arbeid i organisasjonen refererer til personopplysningene til den ansatte. Namsfogden som leder tvangsfullbyrdelsen har rett til å be organisasjonen om opplysninger om de ansatte som det er truffet rettsavgjørelser om å betale underholdsbidrag eller andre typer tilkjente betalinger, herunder opplysninger knyttet til personopplysninger. Arbeidsgiver kan ikke ignorere denne forespørselen. Slike regler er fastsatt ved lov av 2. oktober 2007 nr. 229-FZ.

I dette tilfellet har arbeidsgiveren rett til å rapportere om arbeidet i organisasjonen til den ansatte-debitor uten hans samtykke til å overføre personopplysninger til tredjeparter, siden behandlingen av personopplysninger i dette tilfellet er nødvendig for rettspleien. , utførelsen av en rettshandling som er gjenstand for henrettelse i samsvar med lovgivningen i Russland om tvangsfullbyrdelsessaker (klausul 3, del 1, artikkel 6, klausul 6., del 2, artikkel 10, del 2, artikkel 11 i juliloven 27, 2006 nr. 152-FZ).

Dermed er arbeidsgiveren forpliktet til å svare på forespørselen fra namsmannen om faktumet til den skyldneransattes arbeid. Innhent samtykke fra den ansatte på banen

Margarita Orlova svarer,

Leder for avdelingen for administrasjon av forsikringspremier i FSS i Russland

"For å bekrefte hovedtypen aktivitet for en egen underavdeling, som betaler bidrag på egen hånd, må du sende inn de samme dokumentene som for organisasjonen som helhet. Den eneste forskjellen er at i dem gjenspeiler informasjonen bare for enheten og sender den til FSS-avdelingen på registreringsstedet for en slik enhet. Hvordan du betaler bidrag til du har mottatt et varsel fra FSS om tariffen for inneværende år - du finner ut av anbefalingen."

Når trenger du å varsle Roskomnadzor om behandlingen av personopplysninger? Svaret er i artikkelen.

Spørsmål: Er vi forpliktet ved lov til å registrere oss i registeret over operatører av personopplysninger til Roskomnadzor?I paragraf 2 i art. 22 i lov av 27.07.2006, nr. 152-FZ "Om personopplysninger" sier at 2. Operatøren har rett til å behandle personopplysninger uten å varsle det autoriserte organet for beskyttelse av rettighetene til subjekter av personopplysninger Vi er ikke pålagt å registrere oss i registeret?

Svar: Det er ikke nødvendig å registrere seg i registeret over personopplysningsoperatører til Roskomnadzor, siden det ikke er noen registreringsprosedyre. Operatøren er forpliktet til å sende en melding til Roskomnadzor før behandlingen av personopplysninger starter (klausul 1 i artikkel 22 i lov nr. 152-FZ). Roskomnadzor fører et register over operatører på grunnlag av meldinger.

Samtidig er det unntak fra den spesifiserte rettsregelen, oppført i detalj i paragraf 2 i art. 22 i lov nr. 152-FZ.

Berettigelse

Lagring av personopplysninger i Russland. Hva er funksjonene for ansattinformasjon

Hvis selskapet behandler personopplysninger ikke bare om ansatte og motparter - enkeltpersoner. Det vil si at ethvert selskap er forpliktet til å varsle tjenestemenn om behandlingen av personopplysninger.

Som hovedregel er arbeidsgiver forpliktet til å sende melding til Roskomnadzor om oppstart av behandling av personopplysninger (del 1 av artikkel 22 i lov nr. 152-FZ). Mange selskaper har fortsatt ikke gjort dette. De begrunner dette på følgende måte: Arbeidsgiver behandler kun personopplysninger om sine ansatte. Derfor faller selskapet inn under unntaket, som er fastsatt i paragraf 1 i del 2 av art. 22 i lov nr. 152-FZ. Etter denne bestemmelsen har arbeidsgiver rett til å behandle personopplysninger i samsvar med arbeidslovgivningen uten å varsle Roskomnadzor.

Men i de fleste tilfeller er posisjonen at varsling ikke er nødvendig, feil. Tross alt behandler arbeidsgiver dataene ikke bare til ansatte, men også andre fag. For eksempel representanter for motparter ved mottak av fullmakter eller ansatte i andre selskaper som tilhører samme konsern hos arbeidsgiver. I slike tilfeller anbefales det å sende melding til Roskomnadzor.

I hvilken form skal Roskomnadzor varsles?

Ta med i varselet informasjon om personopplysninger til ansatte (klausul 7 i de midlertidige anbefalingene for utfylling av varslingsskjemaet, godkjent av Roskomnadzor 30.12.2014). Unntakene angitt i del 2 av art. 22 i lov nr. 152-FZ, i dette tilfellet er ikke anvendelige.

Roskomnadzor vil legge inn informasjonen fra meldingen i operatørregisteret innen 30 dager fra datoen for mottak av dokumentet. Du trenger ikke betale penger for dette (del 4, del 5 av artikkel 22 i lov nr. 152-FZ).

Arbeidsgivere som ikke har varslet Roskomnadzor risikerer å motta brev fra tjenestemenn. Som svar på det, vil arbeidsgivere bli pålagt å sende en melding eller begrunne årsakene til at den ikke sendes. I sistnevnte tilfelle øker risikoen for at Roskomnadzor kontrollerer gyldigheten av denne typen begrunnelse. Så ifølge årsrapporten for 2014 sendte Roskomnadzor mer enn 58 tusen slike brev til operatører (

Siden vedtakelsen i 2006 av den føderale loven "Om personopplysninger", er noen av dens bestemmelser og konsepter fortsatt uklare for ansatte hos operatører. Den tilsynelatende tvetydigheten i ordlyden blir noen ganger gjenstand for spekulasjoner for individuelle aktive borgere, som har satt seg som mål å bevise lovens absurditet eller inkonsekvens.

Ved å manipulere noen formuleringer av loven (noen ganger tatt ut av kontekst), stole på prinsippene for formell logikk (ikke alltid rettferdig når det kommer til lov som vitenskap), modellere mulige kollisjoner, kommer noen analytikere til uventede og feilaktige konklusjoner.

Faren for disse konklusjonene ligger i desorienteringen av deltakerne i informasjonsrettslige forhold, så vel som i det faktum at vedtakelsen av tvilsomme uttalelser hindrer operatørenes arbeid med å bringe deres aktiviteter i tråd med loven og skaper forhold for dem å krenke. kravene i loven.

Antallet slike problematiske spørsmål inkluderer definisjonen av operatøren av personopplysninger. En operatør er et statlig, kommunalt organ, juridisk enhet eller enkeltperson som organiserer og (eller) utfører behandlingen av personopplysninger, samt bestemmer formål og innhold for behandlingen av personopplysninger (artikkel 3 i føderal lov 152) . Denne tilsynelatende åpenbare og ikke-vilkårlige definisjonen villeder noen ganger operatører i praksis. Essensen av denne misforståelsen er at "personen som utfører behandlingen ikke alltid er operatøren." Årsaken til vrangforestillingen er i uttrykket "og også". I denne «så vel som» ser noen selve kornet av sannhet som vil tillate individuelle operatører å unngå forpliktelsen til å overholde kravene i føderal lov 152. Paradoksalt nok er mange operatører fortsatt overbevist om at de ikke er operatører. For å underbygge denne påstanden gis følgende argumenter: behovet for PD-behandling bestemmes av føderal lov (eller "etablert av organisasjoner på høyere nivå"), derfor er formålet med behandlingen ikke uavhengig bestemt eller bør ikke bestemmes av person som utfører behandlingen (det er ikke behov for eller ingen myndighet til å definere målene).

La oss prøve å håndtere dette problemet, hvis essens ligger i spørsmålet: å bestemme formålet med PD-behandling - et tegn eller en operatørs plikt?

Så det er en oppfatning at operatøren bare og utelukkende er den som samtidig oppfyller følgende to kriterier:
Denne personen må enten organisere eller faktisk utføre behandlingen av PD (eller begge deler samtidig);
Denne må selv bestemme formål og innhold for PD-behandlingen.

Kravet om å bestemme formålet med PD-behandling anses derfor som hovedtrekket til operatøren.

Under utarbeidelsen av denne artikkelen utførte filologer en språklig analyse av den aktuelle definisjonen. Analyseresultatene vises nedenfor.

Bestemmelse av målet kan ikke være hovedfunksjonen, siden denne funksjonen er navngitt blant de homogene medlemmene av setningen og avslutter den. Dessuten får dette homogene medlemmet av setningen selskap av fagforeningen "også", som har en tilstøtende betydning, for eksempel: Jeg nøt fredelig arbeidet mitt, suksessen, berømmelse, så vel som arbeidene og suksessene til vennene mine "(P ). - se NS Valgina, Rosenthal D.E., Fomina M.N. Modern Russian language.Textbook .: M., Logos, 2006.

Russisk grammatikk skriver om den samme betydningen (M, 1980, vol. II):

§ 2079. Sammenføyningsforhold er basert på sammenføyning: det andre medlemmet av serien har en tilleggskarakter; det blir ofte skilt ut som et eget syntagma; rekkefølgen på medlemmene i raden er strengt nødvendig. Forbindende relasjoner (med nyanser av tillegg eller styrking) uttrykkes ved sammensatte foreninger og kombinasjoner av forening med en konkretisator: og også, og dessuten, og dessuten (i tillegg): En eldre dame satt i en vogn, og til og med en ung jente (Tyn.); Bulletinene ble levert i perfekt orden og dessuten i tide (gass).

Merk. Fagforeninger og også, som ... og har evnen til å uttrykke gradvise og forbindende relasjoner, men brukes ofte i en bredere betydning - forbindende eller komparativ: Denne loachen er uvanlig respektfull og kjærlig, ser like kjærlig på både sin egen og andre. , men bruker ikke kreditt (tsjekkisk); Anlegget har oppnådd høye indikatorer både når det gjelder kvantitet og kvalitet på produkter (gass); Elever ved musikkskolen gir ofte konserter på skoler, kulturpalasser, så vel som i verkstedene til bedrifter (gass).

Men konjunksjonene "og (eller)" angitt sammen betyr at medlemmene av en homogen serie koblet sammen av dem både kan eksistere sammen ("organisere og utføre prosessering"), og velges (en av rekkene: "organisere eller utføre behandling) behandling").

Ovennevnte språkanalyse viser grunnløsheten i utsagnet om at bestemmelsen av formålet med PD-behandling er en uunnværlig egenskap hos operatøren. Samtidig er ikke denne analysen det eneste beviset på feilen i denne uttalelsen.

Fra innholdet i ulike publikasjoner og, basert på den nye rettshåndhevelsespraksisen, kan det konkluderes om holdningen til organet som er autorisert til å beskytte rettighetene til PD-subjekter (heretter - Roskomnadzor) til problemet under vurdering. Roskomnadzor mener at operatøren er den som først og fremst utfører eventuelle operasjoner med personopplysninger. Samtidig, i kraft av selve behandlingen, er "behandleren" forpliktet til å bestemme formålet med slik behandling. De. faktisk er bestemmelsen av formålet med behandlingen snarere en konsekvens av behandlingen, eller behovet for en slik, en integrert del av behandlingen, den primære forpliktelsen som følger av behandlingen av personopplysninger, og ikke "hovedtrekket ved operatør."

Gyldigheten av den uttalte oppfatningen bekreftes også av en systematisk analyse av normene i den føderale loven nr. 152. Man bør starte med lovens artikkel 1, som definerer omfanget av handlingen. Den navngitte artikkelen slår fast at loven regulerer forhold knyttet til behandling av personopplysninger utført av ulike organer, juridiske personer og enkeltpersoner. Behandlingsbegrepet er gitt i paragraf 3 i artikkel 3 i føderal lov 152. Dette er handlinger (operasjoner) med personopplysninger, inkludert innsamling, systematisering, akkumulering, lagring, avklaring (oppdatering, endring), bruk, distribusjon (inkludert overføring) , depersonalisering , blokkering, ødeleggelse av personlige data. Av det foregående følger det at hvis en spesifikk person utfører noen av de oppførte handlingene, blir han a priori en deltaker i PR som er gjenstand for regulering av føderal lov nr. 152 (med mindre det faller inn under unntakene gitt i Del 2 av artikkel 1 i loven). Hvordan skal denne personen kalles i henhold til den føderale loven "om personopplysninger"? Valget er begrenset. Denne personen skal omtales som operatør.

Så en bestemt person utfører (eller har til hensikt å utføre) behandlingen av personopplysninger. I henhold til artikkel 5 i føderal lov 152, må behandlingen av personopplysninger utføres i samsvar med prinsippene fastsatt av loven. Analysen av innholdet i prinsippene leder til at det grunnleggende grunnlaget for PD-behandling er definisjonen av behandlingsmål. Selv uten å dykke ned i essensen av hvert prinsipp, men ganske enkelt ved en overfladisk lesning av artikkel 5 i hvert avsnitt av artikkelen, ser vi begrepet "mål" ("målets legitimitet", "overholdelse av mål", "tilstrekkelighet for mål". ", etc.). Denne konsentrasjonen av oppmerksomhet ble ikke brukt av lovgiveren ved et uhell. Fra personen som utfører behandlingen av PD, krever loven en melding om formålet med behandlingen av PD-subjekter til organet som er autorisert til å beskytte rettighetene til PD-subjekter. Loven søker å gjøre aktiviteter knyttet til behandling av personopplysninger transparente og forståelige både for en person - bæreren av konstitusjonelle rettigheter og friheter beskyttet av loven, og for statlige organer som sikrer implementeringen av mekanismer for å beskytte menneskerettighetene som subjekt av personlige data. Den røde tråden i loven er ideen om utillatelighet av "hensiktsløs" behandling av personopplysninger (behandling av personopplysninger "bare sånn", "for egne usikre behov", for "generell utvikling", "for seg selv" , etc.).

I henhold til det andre prinsippet, erklært i artikkel 5 i loven, må formålet med slik behandling fastsettes og erklæres på forhånd (før starten av behandlingen) hvis en person har til hensikt å behandle personopplysninger. Den omvendte logiske resonnementskjeden fører til konklusjonen at gjennomføring av handlinger med personopplysninger i fravær av et spesifikt behandlingsformål er et brudd på prinsippene for behandling, og derfor et brudd på loven, en forutsetning for et brudd på konstitusjonelle rettigheter og friheter til en person og en borger.

Tolkning av normen i paragraf 2. Artikkel 3 i den føderale loven 152 i sammenheng med at definisjonen av målet ikke er operatørens ansvar, men et integrert trekk som identifiserer ham i denne egenskapen, innebærer uunngåelig følgende paradoksale konklusjon. Slike organer som Den russiske føderasjonens pensjonsfond, fondet for obligatorisk medisinsk forsikring, den føderale skattetjenesten, den føderale migrasjonstjenesten og mange andre offentlige etater, hvis ansvar er direkte definert og detaljert av føderal lovgivning, inkludert i forbindelse med transaksjoner med personopplysninger, faller utenfor lovens virkeområde. ... Den vurderte premissen fører også til konklusjonen at teleoperatører ikke er PD-operatører, siden formålet med å samle abonnentenes PD er fastsatt i loven "om kommunikasjon" og vedtekter - dvs. bestemt av staten, og ikke av en bestemt person som leverer kommunikasjonstjenester. Det samme gjelder kredittinstitusjoner, forsikringer og andre organisasjoner som samler inn og andre handlinger med personopplysninger for å motvirke legalisering (hvitvasking) av utbytte fra kriminalitet, d.v.s. for formålene som er direkte fastsatt av loven "On Counteracting the Legalization (Laundering) of Criminally Actained Incomes", og ikke av disse organisasjonene selv. Listen kan fortsettes i det uendelige, absolutt bare én norm av loven og nå punktet av absurditet i forsøk på å prøve sin bokstavelige tolkning for ekte sosiale relasjoner.

Artikkel 18 i føderal lov nr. 152 fastsetter operatørens forpliktelser ved innsamling av personopplysninger. Disse inkluderer for det første operatørens forpliktelse til å gi PD-subjektet på hans forespørsel informasjon (artikkel 14 i føderal lov 152), inkludert om formålet med å behandle hans PD. Når denne forpliktelsen etableres, gjør ikke loven unntak for operatører som behandler personopplysninger på grunnlag av føderale lover.

Når det tas i betraktning ovenstående, blir det klart at i lovens kontekst er bestemmelsen av formålet med PD-behandlingen faktisk snarere plikten til personen som utfører PD-behandlingen, snarere enn en av egenskapene til besittelsen. som gjør denne personen til en operatør.

Hva er en "definisjon" av et mål? Klargjøring av betydningen av ordet «definisjon» er viktig for å forstå innholdet i en rettsregel, uten hvilken håndheving av denne regelen er umulig. Siden lovgiveren i selve loven ikke anså det som nødvendig å avsløre konseptet "definisjon av målet", la oss vende oss til en av tolkningsmetodene som er anerkjent i lovteorien - den leksikalske (språklige) tolkningen.

I følge den forklarende ordboken for det russiske språket, redigert av prof. D.N. Ushakova, for å definere midler
Finn ut med nøyaktighet, informer;
Gi en vitenskapelig, logisk beskrivelse, formulering av et konsept, avslør innholdet;
Bestem deg, ta en beslutning om noe;
Tjen som en grunn for utvikling, for dannelsen av noe, for å forhåndsbestemme, for å betinge;
Tilordne, spesifisere.

Derfor kan definisjonen av formålet med PD-behandling forstås som dens klargjøring, seleksjon, isolasjon fra et sett med mulige mål, dens innstilling eller tildeling som sådan, en indikasjon på dette spesifikke målet(e) som en årsak til PD-behandlingen.

Kontekstuell analyse av innholdet i føderal lov 152, identifikasjon av dens semantiske koblinger med andre lovkilder lar oss konkludere med at for individuelle PD-operatører og (eller) med hensyn til visse kategorier av PD-subjekter, kan formålet med PD-behandling faktisk være forhåndsbestemt eller til og med direkte angitt i lover eller vedtekter (Arbeidsloven, for eksempel, angir spesifikt for arbeidsgivere formålet med å behandle ansattes personopplysninger). Formålet med å behandle visse PD av andre operatører oppstår fra deres forpliktelser som følge av kontraktsforpliktelser. I noen tilfeller kan formålene med PD-behandling samtidig bestemmes av både innholdet i operatørens kommersielle aktiviteter og kravene i loven (teleoperatører, for å utføre egne lovpålagte aktiviteter rettet mot å generere overskudd, behandle PD i hhv. å tilby kommunikasjonstjenester og i henhold til loven "om kommunikasjon") ...

Dermed er den primære oppgaven til personen som utfører PD-behandlingen nettopp verbaliseringen av formålene med PD-behandlingen, selv å forstå hva som er årsaken til behandlingen av personopplysninger til enkeltpersoner spesielt for ham. Formuleringen av svaret på dette spørsmålet vil faktisk være definisjonen av formålet med PD-behandling.

I sammenheng med problemet som behandles i denne artikkelen, virker oppfatningen fra den russiske føderasjonens regjering, uttrykt om endringene i føderal lov 152. Den 5. mai 2010 ble et lovutkast vedtatt i første lesning, forelagt for behandling til statsdumaen av dens stedfortreder VM Reznik. Dette lovutkastet foreslo blant annet en ny formulering av begrepet «operatør», nemlig:

"Operatør er et statlig organ, et kommunalt organ, en juridisk enhet eller en enkeltperson som behandler personopplysninger, samt fastsetter mål, innhold og prosedyre for behandling av personopplysninger." Som du kan se, er ordet "organisering" utelukket fra gjeldende ordlyd. I sitt offisielle svar på dette lovutkastet indikerer regjeringen i Den russiske føderasjonen at "en slik endring ikke kan støttes, siden personer som behandler personopplysninger, men ikke bestemmer formålet med og innholdet i behandlingen, ikke kan anses som operatører." Av de ovennevnte merknadene fra regjeringen i Den russiske føderasjonen følger det at i dag (når versjonen av loven ennå ikke er endret), etter den russiske føderasjonens oppfatning, er en operatør enhver person som behandler PD, uavhengig av tilstedeværelse eller fravær av det faktum at han har bestemt formålene med slik behandling.

Så analysen utført i denne artikkelen lar oss trekke flere konklusjoner.
Å bestemme formålet med PD-behandling er operatørens ansvar, og ikke en obligatorisk identifiserende funksjon for operatøren.
Bestemmelse av formålet med PD-behandling er en prosess for å forstå, klargjøre, konkretisere og verbalisere formålet med PD-behandling av en operatør, inkludert i tilfeller der slike mål er forhåndsbestemt og (eller) stammer fra bestemmelsene i loven eller de fullmakter som er gitt til operatøren.