الغرض من معالجة البيانات الشخصية بموجب قانون العمل. تحديد أغراض معالجة البيانات الشخصية وكيفية التعامل معها

هذه المعلومات هي أي إجراء أو عملية مع البيانات الشخصية للموضوع: التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح والاستخراج والاستخدام والنقل ونزع الطابع الشخصي والحظر والحذف والتدمير.

لماذا جمع المعلومات حول الموضوع والموافقة على تحليله؟

للعميل/المريض

تنتمي المعلومات المتعلقة بالحالة الصحية للمواطن إلى فئة خاصة من البيانات الشخصية.وفقا للجزء 2، البند 4، الفن. 10 القانون الاتحادي رقم 152، يسمح بمعالجة هذه المعلومات دون موافقة الشخص المعني، على أن يتم ذلك لأغراض:

• إنشاء التشخيص.
• الوقاية من الأمراض؛
• توفير الخدمات الطبية والطبية والاجتماعية.

هذه القاعدة صالحة في الحالات التي يتم فيها إجراء المعالجة بواسطة طبيب محترف ملزم بالحفاظ على السرية الطبية وفقًا لتشريعات الاتحاد الروسي.

الاستثناء هو تلك الحالات التي يكون فيها من المستحيل الحصول على الموافقة،ولكنها ضرورية لحماية حياة المريض أو صحته.

إذا استخدم شخص أي خدمة - أبرم اتفاقية، وتقدم بطلب للحصول على قرض - أي أنه عميل، فيمكن أيضًا معالجة المعلومات الشخصية عنه وفقًا للقانون الاتحادي رقم 152.

يمكن استخدام بيانات العميل من أجل:

1. تقديم الاستشارات والمعلومات وخدمات الوساطة.
2. إبرام وتنفيذ اتفاق مع العميل.
3. القيام بخدمات الموارد البشرية والمحاسبة.
4. المعاملات الأخرى التي لا يحظرها تشريع الاتحاد الروسي.

لموظف في المنظمة

صاحب العمل لديه الحق في موظفيه، وهذا منصوص عليه في الفن. 22 قانون اتحادي رقم 152. أغراض معالجة البيانات الشخصية في المنظمة:

• تسجيل العقود المدنية مع المواطنين المنصوص عليها في تشريعات الاتحاد الروسي وميثاق المؤسسة.
• سجلات الموظفين والامتثال للقوانين وتسجيل الالتزامات بموجب عقود العمل والقانون المدني.
• المساعدة في العثور على عمل، والحصول على التعليم أو الترقية، والتسجيل والاستفادة من المزايا.
• التأكد من السلامة الشخصية للموظف وسلامة الممتلكات.
• الامتثال لمتطلبات التشريعات الضريبية والمعاشات التقاعدية عند حساب الاشتراكات في تأمين التقاعد.
• تكوين الإحصائيات وفقًا لقوانين العمل والضرائب والقوانين الفيدرالية.
• مراقبة العمل الذي يقوم به الموظف.

(المادة 86 من "قانون العمل في الاتحاد الروسي" بتاريخ 30 ديسمبر 2001 رقم 197-FZ). المعلومات الشخصية المتعلقة بالموظف المصنفة على أنها "خاصة" لا تخضع للمعالجة من قبل صاحب العمل.

يجب تحديد فترة صلاحية الموافقة على معالجة البيانات الشخصية؛ وقد يكون ذلك تاريخًا أو حدثًا محددًا، على سبيل المثال، الفصل أو سحب الموافقة من قبل الموظف.

أمثلة

القطاع المصرفي

البنك "المالي" الغرض من معالجة البيانات الشخصية للعميل هو القيام بالعمليات المصرفية وغيرها،مشتمل:

1. فتح وصيانة الحسابات المصرفية.
2. تحويل الأموال إلى الحسابات المصرفية.
3. تحويل الأموال من الأفراد - الأفراد والكيانات القانونية دون فتح حساب مصرفي.
4. شراء وبيع العملات الأجنبية.
5. تقديم الخدمات الاستشارية والمعلوماتية، بما في ذلك من خلال عنوان البريد الإلكتروني.

منظمة طبية

المنظمة الطبية "الصحة". الغرض من المعالجة:

• تنظيم الرعاية الطبية.
• إصدار الوصفات الطبية التفضيلية.
• دفع الفواتير في نظام التأمين الطبي الإلزامي والتأمين الطبي الطوعي.
• استخدام للإحصاءات والعمل البحثي.
• الإبلاغ عبر إشعارات الرسائل القصيرة عن نتائج الاختبار والترقيات المستمرة وجداول عمل المتخصصين.

خاتمة

مع العميل أو المريض، ليس كل شيء بسيطًا كما يبدو للوهلة الأولى.وهكذا، دون موافقة وتحذير، لا يمكن نقلها إلى أطراف ثالثة أو استخدامها لأغراض لا يوافق عليها الموضوع. إذا واجه الشخص حقيقة أن بياناته الشخصية قد تسربت، فيمكنه دائمًا اللجوء إلى Roskomnadzor أو المحكمة.

لم تجد الإجابة على سؤالك؟ اكتشف ذلك كيفية حل مشكلتك بالضبط - اتصل الآن:

في 1 يوليو 2017، دخل القانون الاتحادي رقم 13-FZ بتاريخ 02/07/2017 حيز التنفيذ، والذي يعدل المادة. 13.11 من قانون الجرائم الإدارية وينص على توسيع قائمة أسباب جلب المسؤولية الإدارية عن الأنشطة غير القانونية وزيادة كبيرة في الغرامات.

إحدى الوثائق الإلزامية التي يجب على مشغل البيانات الشخصية إعدادها من أجل الامتثال لمتطلبات القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ تسمى السياسة المتعلقة بمعالجة البيانات الشخصية، وهي تشرح كيفية عمل الشركة مع بيانات الموظفين والعملاء والأفراد الآخرين. هذا الملف متاح مجانًا على جميع المواقع تقريبًا التي لديها أي شكل من أشكال جمع البيانات الشخصية.

كيفية وضع سياسة معالجة البيانات الشخصية بشكل صحيح، ما هي الأقسام التي يجب تضمينها؟ تقدم Roskomnadzor توضيحات حول هذه القضايا.

هيكل سياسة معالجة البيانات الشخصية

• أحكام عامة
• أغراض جمع البيانات الشخصية
• الأسباب القانونية لمعالجة البيانات الشخصية
• حجم وفئات البيانات الشخصية التي تتم معالجتها، وفئات موضوعات البيانات الشخصية
• إجراءات وشروط معالجة البيانات الشخصية
• تحديث وتصحيح وحذف وتدمير البيانات الشخصية، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

1. الأهداف العامة

في هذا القسم، أنت في الواقع تجيب على السؤال - ما الهدف من سياسة معالجة البيانات الشخصية؟ كما يشرح المفاهيم الأساسية المستخدمة في الوثيقة، وكذلك حقوق والتزامات المشغل وموضوع البيانات الشخصية.

2. أغراض جمع البيانات الشخصية

فن. يتطلب المادة 5 من القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 تحديد أغراض محددة ومشروعة لجمع البيانات. ولذلك، ليس من الممكن معالجة البيانات الشخصية التي لا تتوافق مع هذه الأغراض.

يشير Roskomnadzor إلى أن أغراض معالجة البيانات الشخصية قد تشمل ما يلي:

• من تحليل الأفعال القانونية التي تنظم أنشطة المشغل؛
• من أغراض الأنشطة التي يقوم بها المشغل بالفعل؛
• من الأنشطة المنصوص عليها في الوثائق التأسيسية للمشغل؛
• من العمليات التجارية المحددة للمشغل في أنظمة معلومات محددة للبيانات الشخصية (حسب الأقسام الهيكلية للمشغل وإجراءاتها فيما يتعلق بفئات معينة من موضوعات البيانات الشخصية).

3. الأسباب القانونية لمعالجة البيانات الشخصية

القانون الاتحادي رقم 152-FZ بتاريخ 27 يوليو 2006 ليس الأساس القانوني لمعالجة البيانات الشخصية. يتم تحقيق هذا الدور من خلال الإجراءات القانونية التي يقوم المشغل بموجبها بمعالجة البيانات.

وبالتالي، في سياسة معالجة البيانات، يمكن تحديد الأسس القانونية التالية: القوانين واللوائح الفيدرالية المعتمدة على أساسها والتي تنظم العلاقات المتعلقة بأنشطة المشغل؛ الوثائق القانونية للمشغل؛ الاتفاقيات المبرمة بين المشغل وموضوع البيانات الشخصية؛ الموافقة على معالجة البيانات الشخصية (في الحالات التي لم ينص عليها القانون صراحةً الاتحاد الروسيولكنها تتوافق مع سلطة المشغل).

4. حجم وفئات البيانات الشخصية التي تتم معالجتها، وفئات موضوعات البيانات الشخصية

من المهم ألا يختلف حجم البيانات الشخصية التي تتم معالجتها عن الأغراض المعلنة للمعالجة.

قد تشمل فئات موضوعات البيانات الشخصية ما يلي: الموظفون - الحاليون والسابقون، والمرشحون للوظائف الشاغرة، وأقارب الموظفين، والعملاء والأطراف المقابلة (الأفراد)، وممثلي أو موظفي العملاء والأطراف المقابلة.

تلفت Roskomnadzor الانتباه إلى حقيقة أنه يجب الإشارة إلى جميع البيانات الشخصية التي تتم معالجتها لكل فئة من المواضيع وفيما يتعلق بأغراض محددة. يتم وصف جميع حالات معالجة الفئات الخاصة من البيانات الشخصية والبيانات الشخصية البيومترية (إن أمكن) بشكل منفصل.

5. إجراءات وشروط معالجة البيانات الشخصية

ما ورد في هذا القسم:

• قائمة الإجراءات التي يتم تنفيذها باستخدام البيانات الشخصية؛
• طرق معالجة البيانات الشخصية؛
• شروط معالجة البيانات الشخصية.

إذا كان المشغل يتفاعل مع أطراف ثالثة، لتحقيق أهداف معالجة البيانات الشخصية، فإنه يحتاج إلى:

• شرح شروط نقل البيانات الشخصية إلى أطراف ثالثة (بما في ذلك نقل البيانات عبر الحدود)؛
• الإشارة إلى اسم وموقع الأطراف الثالثة؛
• الإشارة إلى الغرض من نقل البيانات وحجمها؛
• قائمة إجراءات المعالجة والأساليب وشروط المعالجة الأخرى، بما في ذلك متطلبات حماية البيانات الشخصية المعالجة.

يحق للمشغل نقل البيانات الشخصية إلى هيئات التحقيق والتحقيق، فضلا عن الهيئات الأخرى المعتمدة على الأسس المنصوص عليها في القانون.

يجب أن تتضمن سياسة معالجة البيانات الشخصية معلومات حول الامتثال لمتطلبات سرية البيانات الشخصية (المذكورة في المادة 7 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ) ومعلومات حول اتخاذ التدابير (الجزء 2 من المادة 18.1، الجزء 1 من المادة 19).

بالإضافة إلى ذلك، يجب على المشغل الإشارة إلى شرط إنهاء معالجة البيانات الشخصية. قد يكون هذا تحقيق أهداف المعالجة، وانتهاء صلاحية الموافقة على المعالجة، وسحب موافقة موضوع البيانات الشخصية على المعالجة، وتحديد المعالجة غير القانونية للبيانات.

ينبغي إيلاء اهتمام خاص لمسألة مثل تخزين البيانات الشخصية. أولاً، يجب ذكر المواعيد النهائية. ثانيا، يتم استخدام قواعد البيانات الموجودة على أراضي الاتحاد الروسي. ثالثًا، يتم أخذ حقيقة أن التخزين يجب أن يتم بشكل يسمح بتحديد موضوع البيانات الشخصية بما لا يزيد عن ما تتطلبه أغراض المعالجة. رابعا، من الضروري ذكر شروط التخزين الأخرى، بما في ذلك عند معالجة البيانات دون استخدام أدوات الأتمتة.

6. تحديث وتصحيح وحذف وتدمير البيانات الشخصية، والاستجابة لطلبات الأشخاص للوصول إلى البيانات الشخصية

وفقا للفن. 21 رقم 152-FZ، يجب على المشغل تحديث البيانات الشخصية إذا تم تأكيد حقيقة عدم دقة البيانات الشخصية. الأمر نفسه ينطبق على تأكيد عدم قانونية المعالجة.

تخضع البيانات الشخصية للتدمير عندما تتحقق أغراض معالجتها وفي حالة سحب موضوع البيانات الشخصية موافقته على معالجتها، ما لم: ينص على خلاف ذلك في الاتفاقية التي يكون موضوع البيانات الشخصية طرفًا فيها أو مستفيدًا أو الضامن؛ خلاف ذلك غير منصوص عليه في اتفاقية أخرى بين المشغل وموضوع البيانات الشخصية. لا يحق للمشغل معالجة البيانات الشخصية دون موافقة موضوع البيانات الشخصية على الأسس المنصوص عليها في القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 أو القوانين الفيدرالية الأخرى.

بناء على الفن. 20. يلتزم المشغل بإبلاغ صاحب الموضوع بمعلومات البيانات الشخصية حول معالجة البيانات الشخصية التي يقوم بها عند الطلب.

توصي Roskomnadzor بتضمين لوائح سياسة معالجة البيانات الشخصية للرد على الطلبات والطعون المقدمة من أصحاب البيانات الشخصية وممثليهم والهيئات المعتمدة فيما يتعلق بعدم دقة البيانات وعدم قانونية معالجتها وسحب الموافقة والوصول إلى بياناتهم. ستكون فكرة جيدة إضافة نماذج مناسبة من الطلبات والاستئنافات إلى السياسة.

نشر سياسة معالجة البيانات الشخصية في المكتب وعلى الموقع الإلكتروني

يحق لأي شخص تقوم الشركة بمعالجة بياناته التعرف على سياسة معالجة البيانات الشخصية. ولذلك، يجب نشرها في مكان يمكن الوصول إليه بشكل عام. على سبيل المثال، استخدم موقف المعلومات لهذا الغرض.

إذا قامت إحدى الشركات بجمع بيانات شخصية عبر الإنترنت، فإنها ملزمة بنشر السياسة على الموقع الإلكتروني. ويمكن لزائر الموقع مشاهدته بالضغط على الرابط.

للتعرف على أهم التغييرات التي تؤثر على الأعمال، انضم إلى قناتنا على

ولا يمكن للشركة الاستغناء عن الحصول على معلومات شخصية من الموظفين والعملاء والمقاولين. نحن بحاجة إلى الأسماء والعناوين وغيرها من المعلومات. ومع ذلك، يحق للشركة معالجة البيانات الشخصية لأغراض محددة فقط. وأي استخدام آخر للبيانات يعد انتهاكًا سيؤدي إلى اتخاذ إجراء إداري.

يجب أن تكون الأغراض التي يتم طلب المعلومات من أجلها متوافقة مع القانون واحتياجات الشركة.

في سياق ممارسة الأعمال التجارية، تتعامل الشركة مع المعلومات التي تحتاج إلى الحماية. تتضمن المعلومات السرية معلومات حول التقنيات والمشاريع والتطورات وتفاصيل المعاملات وما إلى ذلك. ويتطلب القانون أيضًا حماية المعلومات المتعلقة بالأشخاص الذين يعملون في الشركة أو عملائها أو يمثلون الأطراف المقابلة. يسري "قانون البيانات الشخصية" تنفيذاً للمبدأ الدستوري المتمثل في حماية الحياة الخاصة (المادة 2 من القانون رقم 152). تنطبق متطلبات القانون على أي منظمة تتلقى بيانات من رعاياها (المادة 1 من القانون رقم 152).

يحق للشركة التي تبدأ في معالجة البيانات الشخصية أن تطلبها فقط لأغراض معينة (الجزء 2 من المادة 5 من القانون رقم 152). بالإضافة إلى ذلك، يعتمد حجم البيانات على الأهداف. لا يجوز لك طلب معلومات لا تحتاجها الشركة (الجزءان 4 و5 من المادة 5 من القانون رقم 152). على سبيل المثال، لا يحق للمتجر عبر الإنترنت أن يطلب بيانات جواز السفر من المشتري أو يطلب الإشارة إلى العنوان البريدي إذا كان العميل يلتقط البضائع عن طريق الاستلام الذاتي.

تحدد الشركة نفسها أغراض معالجة البيانات الشخصية للعملاء والموظفين

يتم تحديد المعلومات المطلوبة بالضبط من قبل الشركة (الفقرة 2، المادة 3 من القانون رقم 152). كقاعدة عامة، تطلب المنظمة البيانات الشخصية للعملاء والمقاولين والموظفين للأغراض التالية:

1. إبرام العقود. يمكن أن تكون هذه عقودًا مع مستهلكي خدمات الشركة أو سلعها، أو مع أنواع أخرى من العملاء، أو شركاء العمل، أو اتفاقيات التوظيف، وما إلى ذلك. بالنسبة لأي عقد ستوقعه الشركة، ستكون البيانات الشخصية مطلوبة - موظف يعمل في مصالحها، ممثل الطرف المقابل أو الطرف المقابل نفسه، إذا كان شخصًا خاصًا. يعد تضمين البيانات ضروريًا حتى تتمكن الشركة من الوفاء بالتزاماتها.
2. تنظيم المعلومات حول الموظفين، والحفاظ على سجلات الموظفين والعمل المكتبي. بيانات الموظف ضرورية ليس فقط لإبرام عقود العمل، ولكن أيضًا لجميع المعاملات الأخرى في إطار علاقة العمل.
3. الامتثال لمتطلبات قانون خصم الضرائب على الميزانية واشتراكات التأمين وما إلى ذلك. تقوم الشركة بحجب اشتراكات ضريبة الدخل الشخصية عن الموظفين وتحويل هذه المبالغ إلى الدولة وصندوق التقاعد والمنظمات الأخرى (المادة 22 من القانون رقم 152، المادة 86 من قانون العمل في الاتحاد الروسي).
4. تكوين الإحصاءات. ولهذا الغرض، يجب أن تكون البيانات مجهولة المصدر (البند 9، الجزء 1، المادة 6 من القانون رقم 152).

ضيف، لقاء -!

تلتزم الشركة بتحذير موضوع البيانات الشخصية حول أغراض المعالجة

تلتزم الشركة بإخطار الموظف أو العميل بالغرض الذي تطلب من أجله معالجة بياناته الشخصية (البند 4، الجزء 4، المادة 9 من القانون رقم 152). ويتم ذلك كجزء من الحصول على الموافقة لتقديم المعلومات. يجب أن تكون قائمة الأهداف:

• أن تكون شاملة ومحددة؛
• الامتثال لأحكام الميثاق، وكذلك القوانين المحلية للمنظمة؛
• تتوافق مع الأهداف التي تسعى الشركة إلى تحقيقها فعليًا.

على سبيل المثال، يطلب البنك معلومات من العميل. الغرض من المعالجة هو خدمة حسابه، بما في ذلك:

• فتح حساب,
• حفظ الحساب،
• عمليات تحويل الأموال من وإلى الحساب،
• التشاور مع العميل.

مثال آخر للمعلومات هو إدراج أغراض معالجة البيانات الشخصية للموظفين في سياسة الشركة. وتنص المنظمة على استخدام المعلومات:

• عند العمل مع السيرة الذاتية للمتقدمين؛
• للوفاء بالتزامات الشركة بموجب اتفاقية العمل؛
• والامتثال لقوانين العمل والضرائب والمعاشات التقاعدية؛
• تنظيم تدريب الموظفين وتحسين مستواهم المهني؛
• عند حساب الأجور واستحقاقها؛
• لمراقبة جودة عمل الموظف؛
• عند تقديم الضمانات والمزايا المختلفة، وما إلى ذلك.

يجب الحصول على الموافقة على المعالجة من صاحب البيانات في جميع الحالات تقريبًا. إذا كان الغرض من التجميع هو الترويج للشركة في السوق أو الدعاية السياسية، فإن المشغل ملزم بإثبات موافقة الشخص (الجزء 1، المادة 15 من القانون رقم 152). وإلا اعتبر أنه لم يطلب.

بالإضافة إلى الاتفاق مع الموظف أو العميل، يجب أن تنعكس أغراض الحصول على البيانات في وثيقة خاصة - سياسة الشركة بشأن العمل مع هذه البيانات. يجب أن تكون هذه وثيقة عامة. وكقاعدة عامة، يتم نشره على موقع المنظمة في قسم خاص.

احترافي نظام المساعدةللمحامين، حيث ستجد الإجابة على أي سؤال، حتى الأكثر تعقيدا.

تحدد اللائحة الخاصة بمعالجة البيانات الشخصية وحمايتها إجراءات جمع وتجميع وتخزين واستخدام وحذف وما إلى ذلك من المعلومات التي تحتوي على معلومات حول موظفي المؤسسة. يجب أن تصف الوثيقة الإجراء الخاص بنقل PD إلى أطراف ثالثة، وميزات معالجة PD الآلية وغير الآلية، وإجراءات الوصول إلى PD، وإجراءات تنظيم الرقابة الداخلية والمسؤولية عن الانتهاكات أثناء معالجة PD.

كيفية وضع لائحة بشأن معالجة وحماية البيانات الشخصية

يتم تطوير الوثيقة وفقًا لتشريعات الاتحاد الروسي بشأن البيانات الشخصية والوثائق التنظيمية والمنهجية للهيئات التنفيذية لسلطة الدولة بشأن قضايا أمن PD عند معالجتها في أنظمة معلومات PD.

تتكون لائحة حماية البيانات الشخصية عادةً من 11 قسمًا:

1. أحكام عامة.
2. أهداف وغايات معالجة PD.
3. البيانات الشخصية التي تتم معالجتها في ISPD (الاسم الكامل، تاريخ الميلاد، رقم هاتف الاتصال، عنوان التسجيل، عنوان الإقامة الفعلي).
4. الوصول إلى PD.
5. المتطلبات الأساسية لحماية البيانات الشخصية.
6. الموافقة على معالجة PD.
7. حقوق الموضوع فيما يتعلق بالبيانات الشخصية التي يعالجها المشغل.
8. حقوق والتزامات مشغل ISPDn.
9. إجراءات معالجة وحماية البيانات الشخصية.
10. خصوصيات معالجة البيانات الشخصية لموظفي المشغل.
11. المسؤولية عن انتهاك هذا الحكم.

تنطبق الأحكام المتعلقة بمعالجة البيانات الشخصية وحمايتها على جميع عمليات جمع البيانات الشخصية وتنظيمها وتراكمها وتخزينها وتوضيحها واستخدامها وتوزيعها (بما في ذلك النقل) وإلغاء طابعها الشخصي وحظرها وتدميرها، والتي تتم باستخدام أدوات التشغيل الآلي وبدونها. يستخدم.

موضوعات البيانات الشخصية

تشمل موضوعات التطوير المهني ما يلي:

• موظفو المشغل.
• المرشحين للتوظيف.
• العملاء (مستهلكو خدمات المشغلين).
• رواد الأعمال الأفراد هم الأطراف المقابلة للمشغل.
• عملاء المؤسسات والأطراف المقابلة للمشغل (خدمة عملاء الشركات).
• الأفراد الآخرون الذين تتم معالجة بياناتهم الشخصية بواسطة المشغل.

تدخل اللائحة المتعلقة بمعالجة البيانات الشخصية وحمايتها حيز التنفيذ منذ لحظة الموافقة عليها وهي صالحة إلى أجل غير مسمى حتى يتم استبدالها بلائحة جديدة. يجب أن يكون جميع موظفي المنظمة على دراية بهذه الوثيقة ضد التوقيع.

اللوائح المتعلقة بمعالجة وحماية البيانات الشخصية

أحكام عامة

1.1.

تم تطوير هذه اللائحة وفقًا لتشريعات الاتحاد الروسي بشأن البيانات الشخصية (المشار إليها فيما يلي باسم PD) والوثائق التنظيمية والمنهجية للهيئات التنفيذية لسلطة الدولة بشأن قضايا أمن البيانات الشخصية عند معالجتها في أنظمة معلومات PD (المشار إليها فيما يلي باسم PD) مثل PDIS).

1.2.

لأغراض هذه اللائحة، تستخدم المصطلحات التالية:

البيانات الشخصية (PD) - أي معلومات تتعلق بتحديد أو تحديد بشكل مباشر أو غير مباشر إلى فرد(في موضوع البيانات الشخصية)؛

المشغل - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد يقوم، بشكل مستقل أو بالاشتراك مع أشخاص آخرين، بتنظيم و (أو) تنفيذ معالجة البيانات الشخصية، وكذلك تحديد أغراض معالجة البيانات الشخصية وتكوين البيانات الشخصية البيانات المراد معالجتها، والإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية؛

معالجة PD - أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي أو بدون استخدام هذه الأدوات مع PD، بما في ذلك التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخراج والاستخدام ، النقل (التوزيع، التوفير، الوصول)، إلغاء الطابع الشخصي، الحظر، الحذف، تدمير البيانات الشخصية؛

المعالجة الآلية للبيانات الشخصية - معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر؛

توزيع البيانات الشخصية - الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لعدد غير محدد من الأشخاص؛

توفير PD - الإجراءات التي تهدف إلى الكشف عن PD لشخص معين أو دائرة معينة من الأشخاص؛

حظر PD - التوقف المؤقت لمعالجة PD (باستثناء الحالات التي تكون فيها المعالجة ضرورية لتوضيح PD)؛

تدمير PD - الإجراءات التي نتيجة لذلك يصبح من المستحيل استعادة محتوى PD في ISPD و/أو نتيجة لتدمير الوسائط المادية لـ PD؛

تبديد طابع البيانات الشخصية - الإجراءات التي تصبح نتيجة لذلك مستحيلة دون استخدامها معلومات إضافيةتحديد ما إذا كان PD ينتمي إلى موضوع PD محدد؛

نظام معلومات البيانات الشخصية (PDIS) - مجموعة من البيانات الشخصية الموجودة في قواعد البيانات وضمان معالجتها تكنولوجيا المعلوماتو الوسائل التقنية;

نقل البيانات الشخصية عبر الحدود - نقل البيانات الشخصية إلى أراضي دولة أجنبية إلى سلطة دولة أجنبية أو فرد أجنبي أو كيان قانوني أجنبي.

1.3.

تحدد هذه اللائحة إجراءات وشروط معالجة PD في (المشار إليه فيما يلي باسم المشغل)، بما في ذلك إجراءات نقل PD إلى أطراف ثالثة، وميزات معالجة PD الآلية وغير الآلية، وإجراءات الوصول إلى PD، وPD نظام الحماية، إجراءات تنظيم الرقابة الداخلية والمسؤولية عن الانتهاكات أثناء معالجة PD، أسئلة أخرى.

1.4.

تنطبق هذه اللائحة على جميع عمليات جمع البيانات الشخصية وتنظيمها وتراكمها وتخزينها وتوضيحها واستخدامها وتوزيعها (بما في ذلك النقل) وإلغاء طابعها الشخصي وحظرها وتدميرها، والتي يتم تنفيذها باستخدام أدوات التشغيل الآلي وبدون استخدامها.

1.5.

تدخل هذه اللائحة حيز التنفيذ منذ لحظة موافقة المشغل عليها وتكون صالحة إلى أجل غير مسمى حتى يتم استبدالها بلائحة جديدة.

1.6.

يتم إجراء جميع التغييرات على اللوائح بأمر.

1.7.

يجب أن يكون جميع موظفي المشغل على دراية بهذه اللوائح عند التوقيع.

أهداف وغايات معالجة PD

2.1.

يجب أن تقتصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة. لا يُسمح بمعالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.

2.2.

لا يجوز دمج قواعد البيانات التي تحتوي على بيانات شخصية، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض.

2.3.

فقط البيانات الشخصية التي تلبي أغراض معالجتها هي التي تخضع للمعالجة.

2.4.

2.5.

قد تتم معالجة البيانات الشخصية لموظفي المشغل فقط لغرض ضمان الامتثال للقوانين واللوائح الأخرى، ومساعدة الموظفين في التوظيف والتدريب والترقية، وضمان السلامة الشخصية للموظفين، ومراقبة كمية ونوعية العمل المنجز و ضمان سلامة ممتلكات المشغل.

2.6.

الأغراض الرئيسية لمعالجة PD هي:

الأغراض الإضافية لمعالجة البيانات الشخصية هي: .

2.7.

يوفر ISPDn حلولاً للمهام التالية: .

البيانات الشخصية التي تتم معالجتها في ISPDn

3.1.

تقوم ISPD بمعالجة البيانات الشخصية لموضوعات البيانات الشخصية التالية:

3.1.1.

موظفو المشغل؛

3.1.2.

العملاء (مستهلكو خدمات المشغل)؛

3.1.3.

رواد الأعمال الأفراد - الأطراف المقابلة للمشغل؛

3.1.4.

عملاء المنظمات والأطراف المقابلة للمشغل (خدمة عملاء الشركات)؛

3.2.

يمكن مراجعة هذه القائمة حسب الضرورة.

3.3.

تشمل البيانات الشخصية لمواضيع PD ما يلي:

3.4.

يتم تشكيل قوائم كاملة بالبيانات الشخصية المعالجة في قائمة البيانات الشخصية الخاضعة للحماية في نظام معلومات المشغل.

الوصول إلى البيانات الشخصية

4.1.

موظفو المشغل الذين، بسبب واجباتهم الرسمية، يعملون باستمرار مع البيانات الشخصية، يحصلون على إمكانية الوصول إلى فئات البيانات الشخصية المطلوبة لفترة أداء واجباتهم الرسمية بناءً على قائمة الأشخاص المصرح لهم بالعمل مع البيانات الشخصية، والتي تمت الموافقة عليها من قبل رئيس المشغل. يتم تجميع القائمة على أساس هذا المفهوم أمن المعلوماتوسياسة أمن المعلومات.

4.2.

يجب تحديث قائمة الأشخاص الذين لديهم حق الوصول إلى البيانات الشخصية لنظام المعلومات.

4.3.

أنشأ المشغل إجراء للسماح بالوصول إلى البيانات الشخصية. لا يُتاح لموظفي المشغل إمكانية الوصول إلى البيانات الشخصية للعمل إلا بالقدر والمدى اللازمين لهم لأداء واجباتهم الرسمية بناءً على قرار المدير

4.4.

يمكن لموظف المشغل الحصول على إذن مؤقت أو لمرة واحدة للعمل مع البيانات الشخصية بسبب الاحتياجات الرسمية بموافقة المدير.

4.5.

يُحظر الوصول إلى PD من قبل أطراف ثالثة ليست موظفين لدى المشغل دون موافقة موضوع PD، باستثناء الوصول من قبل موظفي السلطات التنفيذية، والذي يتم تنفيذه كجزء من تدابير الرقابة والإشراف على تنفيذ التشريعات، تنفيذ مهام وصلاحيات الجهات الحكومية ذات العلاقة. يتم تقديم المعلومات بناءً على طلب أو طلب من سلطة حكومية بمعرفة رئيس المشغل.

4.6.

إذا كان موظف في مؤسسة خارجية يحتاج إلى الوصول إلى PD الخاص بالمشغل، فمن الضروري أن تنص الاتفاقية مع منظمة الطرف الثالث على شروط سرية PD والتزام منظمة الطرف الثالث وموظفيها بالامتثال لـ متطلبات التشريعات الحالية في مجال حماية PD. بالإضافة إلى ذلك، في حالة الوصول إلى البيانات الشخصية من قبل أشخاص ليسوا موظفين في المشغل، يجب الحصول على موافقة أصحاب البيانات الشخصية على تقديم بياناتهم الشخصية إلى أطراف ثالثة. لا تكون الموافقة المحددة مطلوبة إذا تم تقديم PD لغرض تنفيذ عقد مدني أبرمه المشغّل مع موضوع PD.

4.7.

يتم إنهاء وصول موظف المشغل إلى البيانات الشخصية من تاريخ انتهاء علاقة العمل، أو تاريخ التغيير في مسؤوليات وظيفة الموظف و/أو استبعاد الموظف من قائمة الأشخاص الذين يحق لهم الوصول إلى البيانات الشخصية. في حالة الفصل، جميع الوسائط التي تحتوي على PD، والتي، وفقًا لـ مسؤوليات الوظيفةكانت تحت تصرف الموظف أثناء العمل، ويجب تحويلها إلى المسؤول المختص.

المتطلبات الأساسية لحماية البيانات الشخصية

5.1.

عند معالجة البيانات الشخصية في نظام المعلومات يجب التأكد مما يلي:

أ) تنفيذ تدابير تهدف إلى منع الوصول غير المصرح به إلى البيانات الشخصية و/أو نقلها إلى الأشخاص الذين ليس لديهم الحق في الوصول إلى هذه المعلومات؛

ب) الكشف في الوقت المناسب عن حقائق الوصول غير المصرح به إلى البيانات الشخصية؛

ج) منع التأثير على الوسائل التقنية للمعالجة الآلية للبيانات الشخصية، مما قد يؤدي إلى تعطيل عملها؛

د) إمكانية الاستعادة الفورية للبيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها؛

ه) التحكم المستمر في ضمان مستوى أمان PD.

5.2.

يلتزم المشغل باتخاذ الإجراءات القانونية والتنظيمية والتقنية اللازمة وغيرها من التدابير لضمان أمن البيانات الشخصية.

5.3.

لتطوير متطلبات الأمان وتنفيذ نظام أمان PD، قام المشغل بتطوير "نموذج لتهديدات أمان PD عند معالجتها في ISPD" استنادًا إلى وثيقة تنظيمية ومنهجية FSTEC من روسيا"النموذج الأساسي للتهديدات التي تواجه أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية."

5.4.

المشغل وفقًا للوثيقة الحاكمة للوكالات الحكومية - مرسوم حكومة الاتحاد الروسي بتاريخ 1 نوفمبر 2012 رقم 1119 "بشأن الموافقة على متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية"تم تنفيذ تصنيف ISPD الخاص بالمشغل.

5.5.

قامت اللجنة بإعداد شهادة تصنيف ISPD التي تمت معالجتها باستخدام أدوات التشغيل الآلي:

5.6.

قام المشغل، على أساس تقرير التحقق من ISPD ووفقًا للوثيقة التنظيمية والمنهجية الصادرة عن FSTEC في روسيا "التدابير الرئيسية للتنظيم والدعم الفني لأمن البيانات الشخصية المعالجة في أنظمة معلومات البيانات الشخصية"، بتطوير ونفذت مجموعة من التدابير لحماية وضمان أمن البيانات الشخصية ("خطة العمل") لضمان أمن البيانات الشخصية").

5.7.

يستخدم المشغل الوسائل التقنية والبرامج لمعالجة البيانات الشخصية وحمايتها. يتم أيضًا الاحتفاظ بسجل لوسائل حماية البيانات الشخصية.

5.8.

يحتفظ المشغل بسجل لمحاسبة وتخزين وسائط التخزين القابلة للإزالة.

5.9.

توجد الوسائل التقنية المذكورة أعلاه لـ ISPD في مكتب ومقر المشغل.

5.10.

يجب أن يكون جميع الأشخاص المصرح لهم بالعمل مع PD، وكذلك أولئك المرتبطين بالتشغيل والدعم الفني لـ ISPD، على دراية بمتطلبات هذه اللائحة عند التوقيع، ويجب عليهم أيضًا التوقيع على "اتفاقية ضمان سرية البيانات الشخصية بواسطة موظفو المشغل"، الواردة في ملحق هذه اللائحة.

5.11.

قام المشغّل بتنظيم عملية تدريب لاستخدام وسائل حماية البيانات الشخصية التي يديرها المشغّل. يوصى بالتدريب في هذا المجال للأشخاص الذين يعانون من الوصول الدائمإلى PD والأشخاص الذين يقومون بتشغيل الأجهزة والبرامج الخاصة بوسائل حماية ISPD وISPD. يجب أن يخضع الأشخاص المسؤولون عن تشغيل أدوات أمن المعلومات ISPD لتدريب إلزامي.

5.12.

يلتزم الموظفون بإخطار مسؤول المشغل المعني على الفور بفقدان أو نقص وسائط التخزين التي تشكل البيانات الشخصية، بالإضافة إلى أسباب وشروط التسرب المحتمل للبيانات الشخصية. إذا حاول أشخاص غير مصرح لهم الحصول على PD من الموظف الذي تمت معالجته من قبل المشغّل، فقم على الفور بإخطار المسؤول المناسب لدى المشغّل.

الموافقة على معالجة PD

6.1.

يقرر موضوع التطوير المهني تقديم التطوير المهني الخاص به ويوافق على معالجته بحرية، وبإرادته الحرة ولمصلحته الخاصة. يجب أن تكون الموافقة على معالجة البيانات الشخصية محددة ومستنيرة وواعية. يمكن إعطاء الموافقة على معالجة البيانات الشخصية من قبل صاحب البيانات الشخصية أو ممثله بأي شكل من الأشكال يسمح بتأكيد حقيقة استلامها، ما لم ينص تشريع الاتحاد الروسي على خلاف ذلك. إذا تم استلام الموافقة على معالجة PD من ممثل موضوع PD، يتم التحقق من صلاحيات هذا الممثل لإعطاء الموافقة نيابة عن موضوع PD من قبل المشغل.

6.2.

يتم الحصول على موافقة كتابية لمعالجة البيانات الشخصية من قبل موظف المشغل، عند استلام البيانات الشخصية من موضوع البيانات الشخصية، عن طريق إصدار موافقة كتابية في النموذج الذي وضعه المشغل ISPD.

حقوق الموضوع فيما يتعلق بالبيانات الشخصية التي يعالجها المشغل

7.1.

يحق لموضوع PD:

لتلقي معلومات من المشغل فيما يتعلق بمعالجة بياناته الشخصية. يجب أن يتم تقديم المعلومات إلى موضوع PD من قبل المشغّل في شكل يمكن الوصول إليه، ويجب ألا تحتوي على PD المتعلقة بموضوعات PD الأخرى، ما لم تكن هناك أسباب قانونية للكشف عن مثل PD. قائمة المعلومات وإجراءات الحصول على المعلومات منصوص عليها في التشريع الحالي للاتحاد الروسي؛

مطالبة المشغل بتوضيح بياناته الشخصية أو حظرها أو إتلافها إذا كانت البيانات الشخصية غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو ليست ضرورية للغرض المعلن للمعالجة، وكذلك اتخاذ التدابير المنصوص عليها في تشريعات الاتحاد الروسي الاتحاد لحماية حقوقهم؛

مع مراعاة الحصول على موافقة كتابية مسبقة عند معالجة البيانات الشخصية بغرض الترويج للسلع والأعمال والخدمات في السوق عن طريق إجراء اتصالات مباشرة مع المستهلكين المحتملين باستخدام الاتصالات، وكذلك لأغراض الدعاية السياسية؛

مع مراعاة شرط الموافقة الكتابية عند اتخاذ قرارات المشغّل، على أساس المعالجة الآلية الحصرية لـ PD، والتي تؤدي إلى عواقب قانونية فيما يتعلق بموضوع PD أو تؤثر بطريقة أخرى على حقوقه ومصالحه المشروعة؛

تقديم اعتراضات على قرارات المشغل بناءً فقط على المعالجة الآلية لبياناته الشخصية والعواقب القانونية المحتملة لمثل هذا القرار؛

استأنف تصرفات المشغل أو تقاعسه أمام الهيئة المعتمدة لحماية حقوق أصحاب البيانات الشخصية أو في المحكمة.

حقوق والتزامات مشغل ISPDn

8.1.

يحق لمشغل ISPDn:

8.1.1.

تكليف شخص آخر بمعالجة PD بموافقة موضوع PD، ما لم ينص القانون الفيدرالي على خلاف ذلك، على أساس اتفاقية مبرمة مع هذا الشخص، بما في ذلك عقد الولاية أو البلدية، أو من خلال اعتماد قانون مماثل من قبل هيئة الدولة أو البلدية.

8.1.2.

إذا سحب موضوع PD موافقته على معالجة PD، فاستمر في معالجة PD دون موافقة موضوع PD إذا كانت هناك أسباب محددة في تشريعات الاتحاد الروسي.

8.1.3.

رفض موضوع البيانات الشخصية لتلبية الطلب المتكرر للحصول على معلومات لا تتوافق مع الشروط المنصوص عليها في تشريعات الاتحاد الروسي. ويجب أن يكون لهذا الرفض دوافع. يقع الالتزام بتقديم دليل على صحة رفض تلبية الطلب المتكرر على عاتق المشغل.

8.1.4.

تحديد بشكل مستقل تكوين وقائمة التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.

مشغل ISPD ملزم بما يلي:

8.2.1.

قبل البدء في معالجة PD، يلتزم المشغل بإخطار الهيئة المعتمدة لحماية حقوق موضوعات PD بنيته في معالجة PD، باستثناء الحالات المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.2.

عند الوصول إلى PD، لا تكشف عن PD لأطراف ثالثة أو توزع PD دون موافقة موضوع PD، ما لم ينص القانون الفيدرالي على خلاف ذلك.

8.2.3.

تقديم دليل على الحصول على موافقة الشخص المستهدف لمعالجة الطلب الشخصي الخاص به أو دليل على وجود أسباب قانونية لمعالجة الطلب الشخصي دون موافقة الشخص المستهدف.

8.2.4.

قبل بدء نقل البيانات الشخصية عبر الحدود، تأكد من أن الدولة الأجنبية التي يتم نقل البيانات الشخصية إلى أراضيها توفر الحماية الكافية لحقوق أصحاب البيانات الشخصية.

8.2.5.

بناءً على طلب موضوع التطوير المهني، توقف عن معالجة هدف التطوير الخاص به من أجل الترويج للسلع والأعمال والخدمات في السوق عن طريق إجراء اتصالات مباشرة مع المستهلكين المحتملين باستخدام الاتصالات، وكذلك لأغراض الدعاية السياسية.

8.2.6.

اشرح لـ PD الخاضع للحماية الإجراء الخاص باتخاذ القرار استنادًا فقط إلى المعالجة الآلية لـ PD الخاص به والعواقب القانونية المحتملة لمثل هذا القرار، وقم بإتاحة الفرصة للاعتراض على مثل هذا القرار، واشرح أيضًا الإجراء الخاص بالـ PD الخاضع للحماية حقوقه ومصالحه المشروعة.

يلتزم المشغل بدراسة الاعتراض خلال ثلاثين يوما من تاريخ استلامه وإخطار مدير المشروع بنتائج النظر في هذا الاعتراض.

8.2.7.

عند جمع PD، قم بتزويد موضوع PD، بناءً على طلبه، بالمعلومات المنصوص عليها في تشريعات الاتحاد الروسي.

إذا كان توفير بيانات القدرة التنافسية إلى المشغّل فيما يتعلق بموضوع بيانات الأداء إلزامياً وفقاً للقانون الاتحادي، فإن المشغّل ملزم بأن يشرح لمسؤول بيانات الأداء الخاضع للعواقب القانونية المترتبة على رفض تقديم بيانات الشخصية الخاصة به.

8.2.8.

إذا لم يتم استلام PD من موضوع PD، فإن المشغل، باستثناء الحالات المنصوص عليها في تشريعات الاتحاد الروسي، قبل معالجة هذا PD، يزود موضوع PD بالمعلومات التالية:

1) الاسم أو اللقب والاسم الأول والعائلي وعنوان المشغل أو ممثله؛

2) الغرض من معالجة PD وأساسها القانوني؛

3) المستخدمين المستهدفين للبيانات الشخصية؛

4) حقوق موضوع البيانات الشخصية المنصوص عليها في هذا القانون الاتحادي؛

5) مصدر الحصول على PD.

8.2.9.

اتخاذ التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.11.

عند جمع PD باستخدام شبكات المعلومات والاتصالات، قم بنشر وثيقة في شبكة المعلومات والاتصالات ذات الصلة تحدد سياستها فيما يتعلق بمعالجة PD، ومعلومات حول المتطلبات المنفذة لحماية PD، بالإضافة إلى توفير القدرة على الوصول إلى البيانات المحددة وثيقة باستخدام وسائل شبكة المعلومات والاتصالات المناسبة.

8.2.12.

تقديم المستندات والقوانين المحلية المنصوص عليها في تشريعات الاتحاد الروسي، و/أو تأكيد اعتماد التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN، بناءً على طلب الهيئة المعتمدة لحماية حقوق موضوعات PD.

8.2.13.

عند معالجة PD، يجب اتخاذ الإجراءات القانونية والتنظيمية والتقنية اللازمة أو التأكد من اعتمادها لحماية PD من الوصول غير المصرح به أو العرضي إليه أو إتلافه أو تعديله أو حظره أو نسخه أو توفيره أو توزيعه PD، وكذلك من الإجراءات غير القانونية الأخرى في العلاقة مع PD.

8.2.14.

إبلاغ، بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي، موضوع البيانات الشخصية أو معلومات ممثله مجانًا عن مدى توفر البيانات الشخصية المتعلقة بموضوع البيانات الشخصية المقابل، وكذلك إتاحة الفرصة للتعرف على هذه البيانات الشخصية عند التقديم على صاحب البيانات الشخصية أو من يمثله أو خلال ثلاثين يومًا من تاريخ استلام طلب صاحب البيانات الشخصية أو من يمثله.

8.2.15.

في حالة رفض تقديم معلومات حول توفر PD حول موضوع PD المقابل أو PD إلى موضوع PD أو ممثله بناءً على طلبهم أو عند استلام طلب من موضوع PD أو ممثله، يكون المشغل ملزمًا بإعطاء رد مسبب كتابيًا يحتوي على إشارة إلى أحكام تشريعات الاتحاد الروسي، التي هي أساس هذا الرفض، خلال فترة لا تتجاوز ثلاثين يومًا من تاريخ تقديم طلب موضوع PD أو ممثله أو من تاريخ استلام طلب الشخص المعني أو من ينوب عنه.

8.2.16.

خلال فترة لا تزيد عن سبعة أيام عمل من تاريخ تقديم موضوع مدير المشروع أو من يمثله معلومات تؤكد أن مستند التعريف غير كامل أو غير دقيق أو غير ذي صلة، يلتزم المشغّل بإجراء التغييرات اللازمة عليها. في غضون فترة لا تتجاوز سبعة أيام عمل من تاريخ تقديم موضوع PD أو ممثله معلومات تؤكد أنه تم الحصول على PD بشكل غير قانوني أو أنه غير ضروري للغرض المعلن للمعالجة، يكون المشغل ملزمًا بتدمير PD هذا. يلتزم المشغل بإخطار الشخص PD أو ممثله بالتغييرات التي تم إجراؤها والتدابير المتخذة واتخاذ التدابير المعقولة لإخطار الأطراف الثالثة التي تم نقل PD إليها بهذا الموضوع.

8.2.17.

إبلاغ الهيئة المختصة بحماية حقوق أصحاب البيانات الشخصية، بناءً على طلب هذه الهيئة، بالمعلومات اللازمة خلال ثلاثين يومًا من تاريخ استلام هذا الطلب.

8.2.18.

إذا تم اكتشاف معالجة غير قانونية لـ PD، يتم تنفيذها من قبل المشغّل أو شخص يتصرف نيابة عن المشغّل، فإن المشغّل، خلال فترة لا تتجاوز ثلاثة أيام عمل من تاريخ هذا الاكتشاف، ملزم بإيقاف المعالجة غير القانونية لـ PD أو التأكد من وقف المعالجة غير القانونية لـ PD من قبل شخص يتصرف نيابة عن المشغّل. إذا كان من المستحيل التأكد من مشروعية معالجة PD، فإن المشغّل، خلال فترة لا تتجاوز عشرة أيام عمل من تاريخ اكتشاف معالجة PD غير القانونية، ملزم بتدمير PD أو ضمان تدميره. يلتزم المشغل بإخطار موضوع PD أو ممثله بشأن إزالة الانتهاكات أو تدمير موضوع PD، وفي حالة استئناف موضوع PD أو ممثله أو طلب الهيئة المعتمدة لحماية حقوق موضوع PD تم إرساله من قبل الهيئة المعتمدة لحماية حقوق الأشخاص الذين يعانون من PD، وكذلك الهيئة المحددة.

8.2.19.

إذا تم تحقيق الغرض من معالجة البيانات الشخصية، فإن المشغل ملزم بالتوقف عن معالجة البيانات الشخصية أو التأكد من إنهائها (إذا تم تنفيذ معالجة البيانات الشخصية من قبل شخص آخر يتصرف نيابة عن المشغل) وتدمير البيانات الشخصية أو التأكد من تدميرها (إذا تم تنفيذ معالجة البيانات الشخصية من قبل شخص آخر يتصرف نيابة عن المشغّل) في الوقت المحدد، بما لا يتجاوز ثلاثين يومًا من تاريخ تحقيق غرض معالجة البيانات الشخصية، ما لم ينص على خلاف ذلك في الاتفاقية التي تخضع لها البيانات الشخصية. الطرف أو المستفيد أو الضامن، أو اتفاقية أخرى بين المشغّل وموضوع PD، أو إذا لم يكن للمشغل الحق في معالجة PD دون موافقة موضوع PD على الأسس المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.20.

إذا سحب موضوع PD موافقته على معالجة PD الخاص به، أوقف معالجته أو تأكد من إنهاء هذه المعالجة (إذا تم تنفيذ معالجة PD بواسطة شخص آخر يتصرف نيابة عن المشغل) وإذا لم يعد الحفاظ على PD المطلوبة لأغراض معالجة PD، قم بتدمير PD أو التأكد من تدميرها (إذا تم تنفيذ معالجة PD بواسطة شخص آخر يتصرف نيابة عن المشغّل) خلال فترة لا تتجاوز ثلاثين يومًا من تاريخ استلام الرد المذكور، ما لم يتم النص على خلاف ذلك من خلال الاتفاقية التي يكون الشخص المعني باحتمالية الاحتجاز طرفًا فيها أو مستفيدًا أو ضامنًا، أو اتفاقية أخرى بين المشغل وموضوع الاحتمالية أو إذا لم يكن لدى المشغّل الحق في معالجة احتمالية الاحتمال دون موافقة موضوع الاحتمالية على الأسباب المنصوص عليها بموجب تشريعات الاتحاد الروسي.

8.2.21.

تعيين شخص مسؤول عن تنظيم معالجة البيانات الشخصية.

إجراءات معالجة وحماية البيانات الشخصية

9.1.

يعد ضمان سرية البيانات الشخصية التي يعالجها المشغل مطلبًا إلزاميًا لجميع الأشخاص الذين أصبحت البيانات الشخصية معروفة لهم.

9.2.

يجب على موظفي المشغل الذين يقومون بمعالجة المستندات استلامها الحالات المثبتةموافقة الأشخاص PD على المعالجة.

9.3.

في حالة انتهاك الإجراء المحدد لمعالجة PD، يكون موظفو المشغّل مسؤولين وفقًا للقسم 9 من هذه اللوائح.

9.4.

يتم تخزين PD للموضوعات المكتوبة على الورق، والتي تتم معالجتها بواسطة المشغل، في الأقسام (مع الموظفين) الذين لديهم الإذن بمعالجة PD ذي الصلة. يتم تحديد الحق في قبول الموظفين في ISPD غير الآلي بأمر من المدير. لا ينبغي ترك حاملي البيانات الشخصية دون مراقبة. عند مغادرة مكان العمل، يجب على الموظفين الذين يقومون بمعالجة البيانات الشخصية وضع الوسائط في خزانة آمنة ومقفلة أو تقييد الوصول غير المصرح به إلى الوسائط. في حالة فقدان البيانات الشخصية أو تلفها، يتم استعادتها كلما أمكن ذلك.

9.5.

مواقع تخزين المستندات التي تحتوي على PD:

9.5.1.

يتم تخزين وثائق المشتريات الخاصة بعملاء المشغل (العقود، والتصرفات، والاتفاقيات، والاستبيانات، ونسخ جوازات السفر، وغيرها من المستندات المماثلة التي تحتوي على بيانات المشتريات الخاصة بعملاء المشغل، ووسائط التخزين (بطاقات الفلاش، والأقراص المدمجة، وما إلى ذلك) في المكاتب الرئيسية والاحتياطية للمشغل توضع على الرفوف وتقفل بالمفتاح ويتم تحديد الشخص المسؤول الذي يمارس الرقابة بأمر من المدير.

9.5.2.

البيانات الشخصية لموظفي المشغل - المستندات ووسائط التخزين (بطاقات الفلاش والأقراص المضغوطة وما إلى ذلك) يتم تخزينها في خزنة الشركة ومقفلة بمفتاح. الشخص المسؤول الذي يمارس السيطرة هو رئيس المشغل.

9.6.

يتم إصدار الوثائق للمراجعة للأشخاص المقبولين بالمعلومات ذات الصلة لغرض أداء الواجبات الرسمية، لمدة لا تزيد عن يوم عمل واحد.

9.7.

قد يتم تخزين وسائط التخزين الأخرى في المكاتب الرئيسية والاحتياطية للمشغل، أو وضعها على الرفوف وقفلها بمفتاح، أو في خزنة المنظمة. يتم تحديد الشخص المسؤول الذي يمارس السيطرة على شركات نقل المعلومات الأخرى بأمر من المدير.

9.8.

عند العمل مع البرمجيات النظام الآلييُحظر على المشغل الذي ينفذ وظائف عرض وتحرير PD التظاهر أشكال الشاشةتحتوي على هذه البيانات للأشخاص الذين ليس لديهم التصريح المناسب.

9.9.

عند تلقي PD من قبل موظف لدى المشغل، والذي، وفقًا لواجباته الوظيفية، يتلقى PD من عميل أو موظف لدى شخص آخر، يجب التحقق من صحة PD. إدخال PD الذي استلمه المشغل في نظام المعلوماتيتم تنفيذها من قبل الموظفين الذين لديهم إمكانية الوصول إلى PD ذات الصلة. يتحمل الموظفون الذين يقومون بإدخال المعلومات مسؤولية دقة واكتمال المعلومات المدخلة.

9.10.

تم تحديد ميزات معالجة البيانات الشخصية الموجودة على الورق دون استخدام أدوات التشغيل الآلي (لا يتم استخدام الكمبيوتر الشخصي عند إعداد المستندات) وفقًا لمرسوم حكومة الاتحاد الروسي الصادر في 15 سبتمبر 2008 رقم 687 "عند الموافقة من اللوائح الخاصة بميزات معالجة البيانات الشخصية التي تتم دون استخدام أدوات التشغيل الآلي" .

9.11.

عند معالجة فئات مختلفة من البيانات الشخصية يدويًا، يجب استخدام وسيلة مادية منفصلة لكل فئة من البيانات الشخصية.

9.12.

في حالة المعالجة غير الآلية للبيانات الشخصية على الورق:

9.12.1.

لا يجوز التسجيل على وسيطة ورقية واحدة PD، والتي من الواضح أن أغراض معالجتها غير متوافقة؛

9.12.2.

يجب فصل PD عن المعلومات الأخرى، ولا سيما عن طريق تسجيلها على وسائط ورقية منفصلة، ​​في أقسام خاصة أو في مجالات النماذج (النماذج)؛

9.13.

عند استخدام النماذج القياسية للمستندات، فإن طبيعة المعلومات التي تقترح أو تسمح بإدراج PD فيها (المشار إليها فيما بعد بالنماذج القياسية)، يجب استيفاء الشروط التالية:

9.13.1.

يجب أن يحتوي النموذج القياسي أو المستندات ذات الصلة (تعليمات ملؤها والبطاقات والسجلات والمجلات) على معلومات حول الغرض من المعالجة غير الآلية لـ PD واسم (الاسم) وعنوان المشغل واللقب والاسم الأول والعائلي وعنوان موضوع PD، ومصدر استلام PD، والمواعيد النهائية لمعالجة البيانات الشخصية، وقائمة الإجراءات مع البيانات الشخصية التي سيتم تنفيذها أثناء معالجتها، ووصف عام لأساليب معالجة البيانات الشخصية التي يستخدمها المشغل ;

9.13.2.

يجب أن يتضمن النموذج القياسي حقلاً يمكن لموضوع التطوير المهني وضع علامة على موافقته على معالجة PD غير الآلية، إذا كان من الضروري الحصول على موافقة كتابية على معالجة PD؛

9.13.3.

يجب صياغة النموذج القياسي بطريقة تتيح لكل موضوع من موضوعات التطوير المهني الواردة في الوثيقة الفرصة للتعرف على تطور التطوير المهني الخاص به الوارد في المستند دون انتهاك الحقوق والمصالح المشروعة لمواضيع التطوير المهني الأخرى؛

9.13.4.

يجب أن يستبعد النموذج القياسي مجموعة الحقول المخصصة لإدخال البيانات الشخصية، والتي من الواضح أن أغراض معالجتها غير متوافقة.

9.14.

يجب أن يتم تخزين PD في نموذج يسمح بتحديد موضوع PD، وهو ما لا يزيد عما هو مطلوب لأغراض معالجة PD، ما لم يتم تحديد فترة تخزين PD بموجب القانون الفيدرالي، وهي اتفاقية يكون موضوع PD فيها طرف أو مستفيد أو ضامن.

9.15.

حالات إتلاف وحجب وتوضيح البيانات الشخصية:

9.16.

يمكن أن يتم تدمير جزء من البيانات الشخصية أو نزع طابعها الشخصي، إذا سمحت بذلك وسيلة ملموسة، بطريقة تمنع المعالجة الإضافية لهذه البيانات الشخصية مع الحفاظ على إمكانية معالجة البيانات الأخرى المسجلة على وسيلة ملموسة (الحذف، المحو).

9.17.

يتم توضيح البيانات الشخصية عند معالجتها دون استخدام أدوات التشغيل الآلي عن طريق تحديث أو تغيير البيانات على وسيلة ملموسة، وإذا كان ذلك غير مسموح به الميزات التقنية الناقل المادي- عن طريق التسجيل على نفس الوسيط المادي معلومات حول التغييرات التي تم إجراؤها عليها أو عن طريق إنتاج وسيط مادي جديد مع PD محدث.

9.18.

يتم تدمير الوسائط التي تحتوي على بيانات شخصية بالترتيب التالي:

9.18.1.

يتم تدمير PD على الورق باستخدام آلات تمزيق المستندات (آلات تمزيق المستندات) المثبتة في مكتب المشغل.

9.18.2.

يتم تدمير PD الموجود في ذاكرة الكمبيوتر عن طريق حذفه من ذاكرة الكمبيوتر.

9.18.3.

يتم تدمير PD الموجود على بطاقة فلاش أو قرص مضغوط أو أي وسيط تخزين آخر عن طريق حذف الملف من الوسيط، إذا لزم الأمر، عن طريق تعطيل وظيفة بطاقة الفلاش أو القرص المضغوط.

9.19.

يتم إعداد تقرير عن تدمير وسيلة التخزين (للاطلاع على نماذج التقارير، انظر الملاحق).

9.20.

يجب إغلاق المكتب ومقر المشغل في نهاية يوم العمل وغياب الموظفين في مباني المكتب وإغلاق النوافذ وتشغيل الإنذار (إن وجد).

9.21.

يجب أن تكون معدات الشبكة والخوادم موجودة في أماكن لا يمكن للأشخاص غير المصرح لهم الوصول إليها (في غرف خاصة وخزائن وصناديق).

9.22.

يجب أن يتم تنظيف المباني وصيانة المعدات التقنية لـ ISPD تحت سيطرة الأشخاص المسؤولين عن هذه المباني والوسائل التقنية وفقًا للتدابير التي تستبعد الوصول غير المصرح به إلى PD ووسائط تخزين المعلومات والبرامج والأجهزة لمعالجة ونقل وحماية ISPD معلومة.

9.23.

تشمل مسؤوليات مسؤولي ISPDn إدارة حسابات مستخدمي ISPDn، والحفاظ على التشغيل المنتظم لـ ISPDn، وضمان نسخة احتياطيةالبيانات، فضلا عن تركيب وتكوين الأجهزة و برمجة ISPDn لا يتعلق بضمان أمن PD في ISPDn. تشمل مسؤوليات مسؤولي ISPD أيضًا ضمان الامتثال لإجراءات المعالجة وضمان أمن PD في ISPD مع متطلبات السرية والنزاهة وتوافر PD المفروضة على ISPD محدد، و المتطلبات العامةبشأن أمن البيانات الشخصية المنصوص عليها في التشريعات الفيدرالية.

9.24.

تشمل مسؤوليات مسؤولي ISPD أيضًا تثبيت الأجهزة وتكوينها وإدارتها برمجةحماية معلومات ISPD، ومحاسبة وتخزين الوسائط الآلية لـ PD، والمراجعة الدورية لسجلات الأمان وتحليل أمان ISPD، بالإضافة إلى المشاركة في التحقيقات الرسمية في انتهاكات الإجراءات المعمول بها لمعالجة وضمان أمن PD.

9.25.

من أجل ضمان توزيع الصلاحيات وتنفيذ الرقابة المتبادلة ومنع تركيز الصلاحيات الحاسمة لسلامة البيانات الشخصية في شخص واحد، لا يوصى بالجمع بين أدوار مستخدم ISPD ومسؤول ISPD في شخص موظف واحد.

9.26.

تم توضيح متطلبات التأهيل وقائمة مفصلة بحقوق ومسؤوليات مسؤولي ISPD في التوصيفات الوظيفية ذات الصلة، والتي يجب أن يكون الموظفون المعينون في هذه الأدوار على دراية بها عند التوقيع.

9.27.

يتم تنظيم الرقابة الداخلية على عملية معالجة PD في المشغل من أجل دراسة وتقييم الحالة الفعلية لأمن PD، والاستجابة في الوقت المناسب لانتهاكات الإجراء المحدد لمعالجتها، وكذلك من أجل تحسين هذا الإجراء والتأكد من الالتزام بها.

9.28.

تهدف تدابير تنفيذ الرقابة الداخلية على معالجة البيانات الشخصية وأمنها إلى حل المهام التالية:

9.28.1.

ضمان امتثال موظفي المشغل لمتطلبات هذه اللوائح واللوائح التي تحكم نطاق البيانات الشخصية.

9.28.2.

تقييم كفاءة الموظفين المشاركين في معالجة البيانات الشخصية.

9.28.3.

ضمان تشغيل وفعالية الوسائل التقنية لـ ISPD ووسائل حماية PD، وامتثالها لمتطلبات السلطات التنفيذية المعتمدة بشأن القضايا الأمنية PD.

9.28.4.

الكشف عن انتهاكات الإجراء المعمول به لمعالجة البيانات الشخصية والوقاية في الوقت المناسب من العواقب السلبية لهذه الانتهاكات.

9.28.5.

اتخاذ التدابير التصحيحية التي تهدف إلى القضاء على الانتهاكات التي تم تحديدها، سواء في إجراءات معالجة PD أو في تشغيل الوسائل التقنية لـ ISPD.

9.28.7.

ممارسة الرقابة الداخلية على تنفيذ التوصيات والتعليمات لإزالة المخالفات.

9.29.

يتم توثيق نتائج أنشطة المراقبة في القوانين وهي الأساس لوضع توصيات لتحسين إجراءات معالجة وضمان أمن البيانات الشخصية، لتحديث الوسائل التقنية لأنظمة المعلومات ووسائل حماية البيانات الشخصية، للتدريب وتحسين كفاءة الموظفين المشاركين في معالجة البيانات الشخصية.

ميزات إدارة البيانات الشخصية لموظفي المشغل

10.1.

يحدد هذا القسم حقوق والتزامات إضافية للمشغل والموظفين عند معالجة البيانات الشخصية لموظفي المشغل.

10.2.

البيانات الشخصية للموظفين هي المعلومات التي يطلبها المشغل فيما يتعلق بعلاقات العمل والمتعلقة بموظف معين.

10.3.

يمكن إجراء معالجة البيانات الشخصية للموظف فقط لغرض ضمان الامتثال للقوانين واللوائح الأخرى، ومساعدة الموظفين في التوظيف والتدريب والترقية، وضمان السلامة الشخصية للموظفين، ومراقبة كمية ونوعية العمل المنجز وضمان سلامة الممتلكات.

10.4.

لا يحق للمشغل تلقي ومعالجة البيانات الشخصية للموظف حول عضويته في الجمعيات العامة أو أنشطته النقابية، إلا في الحالات التي تنص عليها القوانين الفيدرالية؛

10.5.

عند اتخاذ القرارات التي تؤثر على مصالح الموظف، لا يحق للمشغل الاعتماد على البيانات الشخصية للموظف التي تم الحصول عليها فقط نتيجة للمعالجة الآلية أو الاستلام الإلكتروني؛

10.6.

لا يجوز للموظفين التنازل عن حقوقهم في الحفاظ على الأسرار وحمايتها؛

10.7.

يتعهد المشغل بعدم الكشف عن المعلومات الشخصية للموظف لأغراض تجارية دون موافقته الخطية؛

10.8.

يتعهد المشغل بتحذير موظفيه والأطراف الثالثة التي تتلقى البيانات الشخصية للموظف (بموافقته) بأن هذه البيانات لا يمكن استخدامها إلا للأغراض التي تم إرسالها من أجلها، ويطلب من هؤلاء الأشخاص التأكد من الامتثال لهذه القاعدة. يُطلب من الأشخاص الذين يتلقون البيانات الشخصية للموظف مراعاة نظام السرية (السرية). يتم ضمان نظام السرية من خلال توقيع اتفاقية مع الشخص (ملحق هذه اللوائح). لا ينطبق هذا الحكم على تبادل البيانات الشخصية للموظفين بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي؛

10.9.

يتم الوصول إلى البيانات الشخصية للموظفين على أساس الأوامر واللوائح المعتمدة من قبل المشغل.

10.10.

يتعهد المشغل بعدم طلب معلومات حول الحالة الصحية للموظف، باستثناء المعلومات التي تتعلق بمسألة قدرة الموظف على أداء وظيفة وظيفية؛

10.11.

يتعهد المشغل بنقل PD الخاص بالموظف إلى ممثلي الموظفين بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي، وقصر هذه المعلومات فقط على PD الموظف الضروري للممثلين المذكورين لأداء وظائفهم.

10.12.

يحق للموظف تحديد ممثليه لحماية بياناته الشخصية.

المسؤولية عن انتهاك هذا الحكم

11.1.

تتحمل إدارة المشغل مسؤولية الفشل في ضمان سرية البيانات الشخصية وعدم الامتثال لحقوق وحريات أصحاب البيانات الشخصية فيما يتعلق ببياناتهم الشخصية، بما في ذلك حقوق الخصوصية والأسرار الشخصية والعائلية.

11.4.

في حالات انتهاك الإجراء المحدد لمعالجة وضمان أمن PD، والوصول غير المصرح به إلى PD، والكشف عن PD والتسبب في أضرار مادية أو غيرها للمشغل وموظفيه وعملائه والأطراف المقابلة، يتحمل الجناة المسؤولية المدنية والجنائية والإدارية والمسؤولية التأديبية وغيرها من المسؤوليات المنصوص عليها في تشريعات الاتحاد الروسي.

يتم تنفيذها على أساس الامتثال للقوانين واللوائح الأخرى.

ما هي معالجة البيانات الشخصية؟ تتضمن هذه العملية الخطوات التالية:

يغطي التنظيم القانوني للعمل مع البيانات الشخصية جميع عمليات ومراحل العمل معها.

هدف

لماذا تعتبر معالجة البيانات الشخصية ضرورية؟ تتم معالجة البيانات الشخصية للموظف في المؤسسة أو المؤسسة من أجل تسهيل ذلك.

الأغراض الرئيسية لمعالجة البيانات الشخصية:

• في الحصول على وظيفة؛
• في التنسيب في مؤسسة تعليمية أو للتدريب، للتدريب المتقدم؛
• لغرض حماية العمل؛
• للترقية والسيطرة على الفرص الوظيفية؛
• لمراقبة كمية ونوعية العمل المنجز.

ينص التشريع على تجميع ونقل البيانات الشخصية للموظف فقط لغرض تطويره والاستخدام المناسب لقدراته وخبراته. , تشمل أهدافًا متعددة الوظائف.

تشمل أغراض معالجة البيانات الشخصية للموظفين استخدام البيانات الشخصية ومعالجتها من خلال تركيبها وترابطها، مما يحدد مدى ملاءمة قدرات الموظف في ظروف تنظيم عملية الإنتاج.

لا يمكن تغيير الأهداف المحددة والمعلنة لمعالجة البيانات الشخصية دون إخطار الموظف.

نفذتها من؟

البيانات الشخصية تعني المعلومات التي تحتوي على معلومات أساسية عن شخص محل اهتمام دائرة معينة من ممثلي الحكومة والخدمات الأخرى.

على وجه الخصوص، في الإنتاج (في المنظمة)، تعد البيانات الشخصية ذات أهمية لصاحب العمل، الذي يدير تنظيم العمل في الإنتاج بناءً على معلومات حول موظفيه.

يحق لصاحب العمل أن يطلب أي بيانات شخصية متوفرة فيه الحساباتعن الموظف. بالإضافة إلى ذلك، فإن الوصول إلى البيانات الشخصية لديه دائرة محدودة من الأشخاص الذين ينفذون العمل التشغيلي. كقاعدة عامة، هؤلاء هم موظفي السكرتارية وقسم شؤون الموظفين.

يخضع المشغل الذي يقوم بأنشطة المعلومات باستخدام البيانات الشخصية للتعليمات قبل بدء العمل المعين. يتعرف على قواعد ومبادئ التشغيل التي تحظر الكشف عن المعلومات الواردة في البيانات الشخصية.

يمكن أن يؤدي تنفيذ أنواع العمل المدرجة إلى تحقيق الأغراض التي كانت سببًا لجمع المعلومات حصريًا. ويعتبر سوء استخدام البيانات الشخصية أو الكشف عنها انتهاكًا جسيمًا تتحمل المسؤولية عنه.

الانتهاكات

كما تمت مناقشته سابقًا، يتم أخذ الانتهاكات في معالجة البيانات الشخصية بعين الاعتبار:

يخضع عمل المشغل مع البيانات الشخصية لرقابة صارمة من قبل الخدمات المعتمدة، ويكون المشغل مسؤولاً عن أوجه القصور أو الانتهاكات غير المقصودة أو المتعمدة.

قد تؤدي جميع الإجراءات غير المصرح بها أثناء معالجة البيانات الشخصية إلى عقوبات: تأديبية، وإدارية، وفي بعض الحالات جنائية.