Աշխատանքային օրենսդրությամբ անձնական տվյալների մշակման նպատակը: Անձնական տվյալների մշակման նպատակների և դրանց հետ աշխատելու նպատակների որոշում

Այս տեղեկատվությունը սուբյեկտի անձնական տվյալների հետ կապված ցանկացած գործողություն կամ գործողություն է՝ հավաքում, գրանցում, համակարգում, կուտակում, պահպանում, պարզաբանում, հանում, օգտագործում, փոխանցում, ապանձնավորում, արգելափակում, ջնջում, ոչնչացում:

Ինչու՞ հավաքել տվյալ առարկայի մասին տեղեկատվություն և համաձայնություն տալ դրա վերլուծությանը:

Հաճախորդի/հիվանդի համար

Քաղաքացու առողջական վիճակի մասին տեղեկատվությունը պատկանում է անձնական տվյալների հատուկ կատեգորիայի:Համաձայն Արվեստի 2-րդ մասի 4-րդ կետի. 10 Դաշնային օրենքը թիվ 152, նման տեղեկատվության մշակումը թույլատրվում է առանց սուբյեկտի համաձայնության, պայմանով, որ այն իրականացվում է նպատակների համար.

• ախտորոշման հաստատում;
• հիվանդության կանխարգելում;
• բժշկական և բժշկասոցիալական ծառայությունների մատուցում.

Այս կանոնը գործում է այն իրավիճակների համար, երբ վերամշակումն իրականացվում է պրոֆեսիոնալ բժշկի կողմից, որը պարտավոր է պահպանել բժշկական գաղտնիությունը Ռուսաստանի Դաշնության օրենսդրությանը համապատասխան:

Բացառություն են կազմում այն ​​իրավիճակները, երբ անհնար է համաձայնություն ստանալ,բայց անհրաժեշտ է հիվանդի կյանքը կամ առողջությունը պաշտպանելու համար:

Եթե ​​անձը օգտվում է որևէ ծառայությունից՝ պայմանագիր է կնքում, դիմում է վարկի համար, այսինքն՝ նա հաճախորդ է, նրա մասին անձնական տվյալները նույնպես կարող են մշակվել թիվ 152 դաշնային օրենքի համաձայն։

Հաճախորդի տվյալները կարող են օգտագործվել հետևյալի համար.

1. Խորհրդատվական, տեղեկատվական և միջնորդական ծառայությունների մատուցում։
2. Հաճախորդի հետ պայմանագրի կնքում և կատարում.
3. Կադրերի և հաշվապահական ծառայությունների մատուցում.
4. Ռուսաստանի Դաշնության օրենսդրությամբ չարգելված այլ գործարքներ:

Կազմակերպության աշխատակցի համար

Գործատուն իրավունք ունի իր աշխատողների նկատմամբ, դա ամրագրված է Արվեստ. 22 Դաշնային օրենքը թիվ 152: Կազմակերպությունում անձնական տվյալների մշակման նպատակները.

• Քաղաքացիական պայմանագրերի գրանցում քաղաքացիների հետ, որոնք նախատեսված են Ռուսաստանի Դաշնության օրենսդրությամբ և ձեռնարկության կանոնադրությամբ:
• Անձնակազմի գրառումներ, օրենքներին համապատասխանություն և աշխատանքային և քաղաքացիական իրավունքի պայմանագրերով պարտավորությունների գրանցում:
• Աջակցություն աշխատանք գտնելու, կրթություն ստանալու կամ առաջխաղացման, գրանցման և նպաստների օգտագործման հարցում:
• Աշխատողի անձնական անվտանգության և գույքի անվտանգության ապահովում.
• Կենսաթոշակային ապահովագրության վճարները հաշվարկելիս հարկային և կենսաթոշակային օրենսդրության պահանջներին համապատասխանելը.
• Աշխատանքային, հարկային օրենսգրքերի և դաշնային օրենքներին համապատասխան վիճակագրության ձևավորում:
• Աշխատողի կատարած աշխատանքի մոնիտորինգ.

(«Ռուսաստանի Դաշնության աշխատանքային օրենսգրքի» 86-րդ հոդվածի 2001 թվականի դեկտեմբերի 30-ի թիվ 197-FZ): «Հատուկ» դասակարգված աշխատողի մասին անձնական տեղեկատվությունը ենթակա չէ մշակման գործատուի կողմից:

Անձնական տվյալների մշակման համաձայնության վավերականության ժամկետը պետք է սահմանվի, սա կարող է լինել կոնկրետ ամսաթիվ կամ իրադարձություն, օրինակ՝ աշխատողի կողմից աշխատանքից ազատելը կամ համաձայնությունը հետ կանչելը.

Օրինակներ

Բանկային ոլորտ

Բանկ «Ֆինանսական» Հաճախորդի անձնական տվյալների մշակման նպատակը բանկային և այլ գործառնությունների իրականացումն է,այդ թվում՝

1. Բանկային հաշիվների բացում և վարում:
2. Դրամական միջոցների փոխանցում բանկային հաշիվներին:
3. Ֆիզիկական և իրավաբանական անձանցից դրամական միջոցների փոխանցում առանց բանկային հաշիվ բացելու:
4. Արտարժույթի առք և վաճառք.
5. Խորհրդատվական և տեղեկատվական ծառայությունների մատուցում, այդ թվում՝ էլեկտրոնային հասցեի միջոցով։

Բժշկական կազմակերպություն

«Առողջություն» բժշկական կազմակերպություն. Մշակման նպատակը.

• Բժշկական օգնության կազմակերպում.
• Արտոնյալ դեղատոմսերի թողարկում.
• Պարտադիր բժշկական ապահովագրության և կամավոր բժշկական ապահովագրության համակարգում օրինագծերի վճարում.
• Օգտագործեք վիճակագրության և հետազոտական ​​աշխատանքի համար:
• SMS ծանուցումների միջոցով թեստի արդյունքների, շարունակական առաջխաղացումների և մասնագետների աշխատանքային գրաֆիկի մասին տեղեկացում:

Եզրակացություն

Հաճախորդի կամ հիվանդի հետ ամեն ինչ այնքան էլ պարզ չէ, որքան թվում է առաջին հայացքից:Հենց այդպես, առանց համաձայնության և նախազգուշացման, դրանք չեն կարող փոխանցվել երրորդ անձանց կամ օգտագործել այն նպատակների համար, որոնց հետ սուբյեկտը համաձայն չէ։ Եթե ​​մարդը բախվում է իր անձնական տվյալների արտահոսքի փաստին, նա միշտ կարող է դիմել Ռոսկոմնադզորին կամ դատարանին։

Չե՞ք գտել ձեր հարցի պատասխանը։ Պարզեք ինչպես ճիշտ լուծել ձեր խնդիրը - զանգահարեք հենց հիմա.

2017 թվականի հուլիսի 1-ին ուժի մեջ է մտել 02/07/2017 թիվ 13-FZ Դաշնային օրենքը, որը փոփոխում է Արվեստ. Վարչական իրավախախտումների վերաբերյալ օրենսգրքի 13.11-ը և նախատեսում է անօրինական գործունեության համար վարչական պատասխանատվության ենթարկելու հիմքերի ցանկի ընդլայնում և տուգանքների էական ավելացում:

Պարտադիր փաստաթղթերից մեկը, որը պետք է պատրաստի անձնական տվյալների օպերատորը, որպեսզի համապատասխանի 2006 թվականի հուլիսի 27-ի թիվ 152-FZ դաշնային օրենքի պահանջներին, կոչվում է Անձնական տվյալների մշակման քաղաքականություն, այն բացատրում է, թե ինչպես է աշխատում ընկերությունը աշխատողների, հաճախորդների և այլ անձանց տվյալների հետ: Այս ֆայլն անվճար հասանելի է գրեթե բոլոր կայքերում, որոնք ունեն անձնական տվյալների հավաքման ցանկացած ձև:

Ինչպե՞ս ճիշտ կազմել Անձնական տվյալների մշակման քաղաքականություն, ո՞ր բաժինները պետք է ներառվեն: Այս հարցերի շուրջ պարզաբանումներ է տալիս Ռոսկոմնադզորը։

Անձնական տվյալների մշակման քաղաքականության կառուցվածքը

• Ընդհանուր դրույթներ
• Անձնական տվյալների հավաքագրման նպատակները
• Անձնական տվյալների մշակման իրավական հիմքերը
• Մշակված անձնական տվյալների ծավալը և կատեգորիաները, անձնական տվյալների սուբյեկտների կատեգորիաները
• Անձնական տվյալների մշակման կարգը և պայմանները
• Անձնական տվյալների թարմացում, ուղղում, ջնջում և ոչնչացում, սուբյեկտների կողմից անձնական տվյալներին մուտք գործելու հարցումների պատասխաններ.

1. Ընդհանուր նպատակներ

Այս բաժնում դուք իրականում պատասխանում եք այն հարցին, թե ինչի համար է նախատեսված Անձնական տվյալների մշակման քաղաքականությունը: Այն նաև բացատրում է փաստաթղթում օգտագործվող հիմնական հասկացությունները, ինչպես նաև օպերատորի իրավունքներն ու պարտականությունները և անձնական տվյալների առարկան:

2. Անձնական տվյալների հավաքագրման նպատակները

Արվեստ. հուլիսի 27-ի թիվ 152-FZ դաշնային օրենքի 5-ը պահանջում է տվյալների հավաքագրման կոնկրետ, օրինական նպատակների որոշում: Հետևաբար, հնարավոր չէ մշակել անձնական տվյալներ, որոնք չեն համապատասխանում այդ նպատակներին:

Ռոսկոմնադզորը նշում է, որ անձնական տվյալների մշակման նպատակները կարող են ներառել.

• օպերատորի գործունեությունը կարգավորող իրավական ակտերի վերլուծությունից.
• օպերատորի կողմից փաստացի իրականացվող գործունեության նպատակներից.
• օպերատորի բաղկացուցիչ փաստաթղթերով նախատեսված գործողություններից.
• անձնական տվյալների հատուկ տեղեկատվական համակարգերում օպերատորի հատուկ բիզնես գործընթացներից (ըստ օպերատորի կառուցվածքային ստորաբաժանումների և դրանց ընթացակարգերի՝ կապված անձնական տվյալների սուբյեկտների որոշակի կատեգորիաների հետ):

3. Անձնական տվյալների մշակման իրավական հիմքերը

2006 թվականի հուլիսի 27-ի թիվ 152-FZ դաշնային օրենքը անձնական տվյալների մշակման իրավական հիմք չէ: Այս դերը կատարում են այն իրավական ակտերը, որոնց համաձայն օպերատորը մշակում է տվյալները:

Այսպիսով, Տվյալների մշակման քաղաքականության մեջ կարող են նշվել հետևյալ իրավական հիմքերը. դրանց հիման վրա ընդունված դաշնային օրենքներ և կանոնակարգեր, որոնք կարգավորում են օպերատորի գործունեության հետ կապված հարաբերությունները. օպերատորի կանոնադրական փաստաթղթեր; օպերատորի և անձնական տվյալների սուբյեկտի միջև կնքված պայմանագրեր. համաձայնություն անձնական տվյալների մշակմանը (օրենքով ուղղակիորեն չնախատեսված դեպքերում Ռուսաստանի Դաշնություն, բայց համապատասխանում է օպերատորի լիազորություններին):

4. Մշակված անձնական տվյալների ծավալը և կատեգորիաները, անձնական տվյալների սուբյեկտների կատեգորիաները

Կարևոր է, որ մշակված անձնական տվյալների ծավալը չշեղվի մշակման նշված նպատակներից:

Անձնական տվյալների սուբյեկտների կատեգորիաները կարող են ներառել՝ աշխատողներ՝ ինչպես ներկա, այնպես էլ նախկին, թափուր աշխատատեղերի թեկնածուներ, աշխատակիցների հարազատներ, հաճախորդներ և կոնտրագենտներ (անհատներ), հաճախորդների և կոնտրագենտների ներկայացուցիչներ կամ աշխատակիցներ:

Ռոսկոմնադզորը ուշադրություն է հրավիրում այն ​​փաստի վրա, որ առարկաների յուրաքանչյուր կատեգորիայի համար և կոնկրետ նպատակների առնչությամբ պետք է նշվեն մշակված բոլոր անձնական տվյալները: Անձնական տվյալների հատուկ կատեգորիաների և կենսաչափական անձնական տվյալների մշակման բոլոր դեպքերը (առկայության դեպքում) նկարագրված են առանձին:

5. Անձնական տվյալների մշակման կարգը և պայմանները

Ինչ է նշված այս բաժնում.

• անձնական տվյալների հետ կատարված գործողությունների ցանկ.
• անձնական տվյալների մշակման մեթոդներ;
• անձնական տվյալների մշակման պայմանները.

Եթե ​​անձնական տվյալների մշակման նպատակներին հասնելու համար օպերատորը շփվում է երրորդ կողմերի հետ, ապա նրան անհրաժեշտ է.

• բացատրել անձնական տվյալների երրորդ անձանց փոխանցման պայմանները (ներառյալ տվյալների միջսահմանային փոխանցումը).
• նշեք երրորդ անձանց անունը և գտնվելու վայրը.
• նշեք տվյալների փոխանցման նպատակը և դրա ծավալը.
• ցուցակագրել մշակման գործողությունները, մեթոդները և մշակման այլ պայմանները, ներառյալ մշակված անձնական տվյալների պաշտպանության պահանջները:

Օպերատորն իրավունք ունի օրենքով նախատեսված հիմքերով անձնական տվյալներ փոխանցել հետաքննության և հետաքննության մարմիններին, ինչպես նաև լիազորված այլ մարմիններին:

Անձնական տվյալների մշակման քաղաքականությունը պետք է ներառի տեղեկատվություն անձնական տվյալների գաղտնիության պահանջներին համապատասխանելու մասին (դրանք նշված են 2006թ. հուլիսի 27-ի թիվ 152-FZ Դաշնային օրենքի 7-րդ հոդվածում) և միջոցներ ձեռնարկելու մասին տեղեկատվություն (18.1-րդ հոդվածի 2-րդ մաս): Արվեստի 19-րդ մաս):

Բացի այդ, օպերատորը պետք է նշի անձնական տվյալների մշակումը դադարեցնելու պայմանը: Դա կարող է լինել մշակման նպատակների ձեռքբերումը, մշակման համաձայնության ժամկետը լրանալը, անձնական տվյալների սուբյեկտի համաձայնությունը մշակման հետ կանչելը, տվյալների անօրինական մշակման նույնականացումը:

Հատուկ ուշադրություն պետք է դարձնել այնպիսի խնդրին, ինչպիսին է անձնական տվյալների պահպանումը: Նախ պետք է նշել ժամկետները։ Երկրորդ, օգտագործվում են Ռուսաստանի Դաշնության տարածքում տեղակայված տվյալների բազաները: Երրորդ, հաշվի է առնվում այն ​​փաստը, որ պահպանումը պետք է իրականացվի այնպիսի ձևով, որը թույլ կտա բացահայտել անձնական տվյալների առարկան ոչ ավելի, քան պահանջվում է մշակման նպատակներով: Չորրորդ՝ անհրաժեշտ է նշել պահպանման այլ պայմաններ, այդ թվում՝ առանց ավտոմատացման գործիքների տվյալների մշակման ժամանակ։

6. Անձնական տվյալների թարմացում, ուղղում, ջնջում և ոչնչացում, սուբյեկտների կողմից անձնական տվյալներին հասանելիության խնդրանքներին պատասխաններ.

Համաձայն Արվեստի. 21 No 152-FZ, անձնական տվյալները պետք է թարմացվեն օպերատորի կողմից, եթե հաստատվի անձնական տվյալների անճշտության փաստը: Նույնը վերաբերում է մշակման անօրինականության հաստատմանը:

Անձնական տվյալները ենթակա են ոչնչացման, երբ ձեռք են բերվում դրանց մշակման նպատակները, և այն դեպքում, երբ անձնական տվյալների սուբյեկտը հրաժարվում է դրանց մշակման համաձայնությունից, եթե այլ բան նախատեսված չէ պայմանագրով, որին անձնական տվյալների սուբյեկտը հանդիսանում է կողմ, շահառու կամ երաշխավոր; հակառակ դեպքում օպերատորի և անձնական տվյալների սուբյեկտի միջև այլ պայմանագրով նախատեսված չէ: Օպերատորն իրավունք չունի մշակել առանց անձնական տվյալների առարկայի համաձայնության 2006 թվականի հուլիսի 27-ի թիվ 152-FZ դաշնային օրենքով կամ այլ դաշնային օրենքներով նախատեսված հիմքերով:

Արվեստի հիման վրա. 20 օպերատորը պարտավոր է անձնական տվյալների սուբյեկտին տեղեկացնել իր կողմից իրականացվող անձնական տվյալների մշակման մասին՝ ըստ պահանջի:

Ռոսկոմնադզորը խորհուրդ է տալիս Անձնական տվյալների մշակման քաղաքականության մեջ ներառել անձնական տվյալների սուբյեկտների, նրանց ներկայացուցիչների և լիազորված մարմինների խնդրանքներին և դիմումներին պատասխանելու համար՝ կապված տվյալների անճշտության, դրանց մշակման անօրինականության, համաձայնությունից հրաժարվելու և նրանց տվյալների հասանելիության հետ: Լավ կլինի, որ Քաղաքականությունում ավելացվեն հարցումների և բողոքարկումների համապատասխան ձևեր:

Անձնական տվյալների մշակման քաղաքականության տեղադրում գրասենյակում և կայքում

Ցանկացած անձ, ում տվյալները մշակվում են ընկերության կողմից, իրավունք ունի ծանոթանալու Անձնական տվյալների մշակման քաղաքականությանը: Ուստի այն պետք է փակցվի հանրությանը հասանելի վայրում։ Օրինակ, դրա համար օգտագործեք տեղեկատվական ստենդ:

Եթե ​​ընկերությունն անձնական տվյալներ է հավաքում ինտերնետի միջոցով, նա պարտավոր է Քաղաքականությունը տեղադրել կայքում: Կայքի այցելուն կարող է դիտել այն՝ սեղմելով հղման վրա:

Բիզնեսի վրա ազդող ամենակարևոր փոփոխությունների մասին իմանալու համար միացեք մեր ալիքին

Ընկերությունը չի կարող անել առանց աշխատակիցների, հաճախորդների և կապալառուների անձնական տեղեկություններ ստանալու: Մեզ անհրաժեշտ են անուններ, հասցեներ և այլ տեղեկություններ: Այնուամենայնիվ, ընկերությունն իրավունք ունի մշակել անձնական տվյալները միայն հատուկ նպատակներով: Տվյալների ցանկացած այլ օգտագործում խախտում է, որը կհանգեցնի վարչական գործողությունների:

Նպատակները, որոնց համար տեղեկատվությունը պահանջվում է, պետք է համապատասխանեն օրենքին և ընկերության կարիքներին:

Բիզնես վարելու ընթացքում ընկերությունը զբաղվում է տեղեկատվության հետ, որը պետք է պաշտպանված լինի: Գաղտնի տեղեկատվությունը ներառում է տեղեկատվություն տեխնոլոգիաների, նախագծերի, մշակումների, գործարքների առանձնահատկությունների և այլնի մասին: Օրենքը նաև պահանջում է պաշտպանել այն մարդկանց մասին տեղեկությունները, ովքեր աշխատում են ընկերությունում, հանդիսանում են նրա հաճախորդները կամ ներկայացնում են կոնտրագենտներ: «Անձնական տվյալների մասին» օրենքը գործում է անձնական կյանքի պաշտպանության սահմանադրական սկզբունքի հիման վրա (թիվ 152 օրենքի 2-րդ հոդված): Օրենքի պահանջները տարածվում են ցանկացած կազմակերպությունների վրա, որոնք տվյալներ են ստանում իրենց սուբյեկտներից (թիվ 152 օրենքի 1-ին հոդված):

Ընկերությունը, որը սկսում է անձնական տվյալների մշակումը, իրավունք ունի պահանջել դրանք միայն որոշակի նպատակներով (թիվ 152 օրենքի 5-րդ հոդվածի 2-րդ մաս): Բացի այդ, տվյալների ծավալը կախված է նպատակներից: Դուք չեք կարող պահանջել տեղեկատվություն, որը ընկերությանն անհրաժեշտ չէ (Թիվ 152 օրենքի 5-րդ հոդվածի 4-րդ և 5-րդ մասեր): Օրինակ, առցանց խանութն իրավունք չունի գնորդից պահանջել անձնագրային տվյալներ կամ խնդրել նշել փոստային հասցե, եթե հաճախորդը ապրանքը վերցնում է ինքնուրույն վերցնելով:

Ընկերությունն ինքն է որոշում հաճախորդների և աշխատակիցների անձնական տվյալների մշակման նպատակները

Թե կոնկրետ ինչի համար է անհրաժեշտ տեղեկությունը, որոշում է ընկերությունը (թիվ 152 օրենքի 3-րդ հոդվածի 2-րդ կետ): Որպես կանոն, կազմակերպությունը պահանջում է հաճախորդների, կապալառուների և աշխատակիցների անձնական տվյալներ՝

1. Պայմանագրերի կնքում. Դրանք կարող են լինել պայմանագրեր ընկերության ծառայությունների կամ ապրանքների սպառողների հետ, այլ տեսակի հաճախորդների, բիզնես գործընկերների հետ, աշխատանքային պայմանագրեր և այլն: Ցանկացած պայմանագրի համար, որը ընկերությունը պատրաստվում է ստորագրել, կպահանջվեն անձնական տվյալներ՝ աշխատող, որը գործում է իր շահերը, կոնտրագենտի ներկայացուցիչը կամ ինքը՝ կոնտրագենտը, եթե դա մասնավոր անձ է։ Ներառյալ տվյալներ են անհրաժեշտ, որպեսզի ընկերությունը կարողանա կատարել իր պարտավորությունները։
2. Անձնակազմի մասին տեղեկատվության համակարգում, անձնակազմի գրառումների պահպանում և գրասենյակային աշխատանք: Աշխատակիցների տվյալները անհրաժեշտ են ոչ միայն աշխատանքային պայմանագրերի կնքման, այլ նաև աշխատանքային հարաբերությունների շրջանակներում մնացած բոլոր գործարքների համար։
3. Բյուջեից հարկերի, ապահովագրական վճարների և այլնի նվազեցման մասին օրենքի պահանջների պահպանում: Ընկերությունը աշխատակիցներից պահում է անձնական եկամտահարկի մուծումները և այդ գումարները փոխանցում պետությանը, Կենսաթոշակային հիմնադրամին և այլ կազմակերպություններին (Հոդված 22-րդ օրենքի N 22): 152, Ռուսաստանի Դաշնության աշխատանքային օրենսգրքի 86-րդ հոդված):
4. Վիճակագրության ձևավորում. Այդ նպատակով տվյալները պետք է անանուն լինեն (թիվ 152 օրենքի 6-րդ հոդվածի 9-րդ կետի 1-ին մասի):

Հյուր, հանդիպիր - !

Ընկերությունը պարտավոր է անձնական տվյալների սուբյեկտին զգուշացնել մշակման նպատակների մասին

Ընկերությունը պարտավոր է աշխատողին կամ պատվիրատուին ծանուցել, թե ինչ նպատակով է պահանջում նրա անձնական տվյալները մշակելու համար (թիվ 152 օրենքի 9-րդ հոդվածի 4-րդ կետ): Սա արվում է որպես տեղեկատվություն տրամադրելու համաձայնություն ստանալու մաս: Նպատակների ցանկը պետք է.

• լինել համապարփակ և կոնկրետ;
• պահպանել կանոնադրության, ինչպես նաև կազմակերպության տեղական ակտերի դրույթները.
• համապատասխանում է այն նպատակներին, որոնք իրականում հետապնդում է ընկերությունը:

Օրինակ, բանկը հաճախորդից տեղեկատվություն է պահանջում: Մշակման նպատակն է սպասարկել իր հաշիվը, ներառյալ.

• հաշիվ բացելը,
• հաշիվների վարում,
• հաշիվից և հաշիվ փոխանցելու գործառնություններ,
• հաճախորդի խորհրդատվություն:

Տեղեկատվության մեկ այլ օրինակ է ընկերության քաղաքականության մեջ աշխատողների անձնական տվյալների մշակման նպատակների թվարկումը: Կազմակերպությունը սահմանում է, որ տեղեկատվությունը օգտագործվում է.

• դիմորդների ռեզյումեների հետ աշխատելիս.
• կատարել ընկերության աշխատանքային պայմանագրով ստանձնած պարտավորությունները.
• համապատասխանել աշխատանքային, հարկային և կենսաթոշակային օրենքներին.
• կազմակերպել աշխատակիցների վերապատրաստում և բարելավել նրանց մասնագիտական ​​մակարդակը.
• աշխատավարձը հաշվարկելիս և հաշվարկելիս.
• վերահսկել աշխատողների աշխատանքի որակը.
• տարբեր երաշխիքներ և արտոնություններ տրամադրելիս և այլն։

Գրեթե բոլոր դեպքերում մշակման համաձայնությունը պետք է ստացվի տվյալների սուբյեկտից: Եթե ​​հավաքածուի նպատակը ընկերությանը շուկայում խթանելն է կամ քաղաքական քարոզչությունը, ապա օպերատորը պարտավոր է ապացուցել, որ տվյալ անձը տվել է իր համաձայնությունը (թիվ 152 օրենքի 15-րդ հոդվածի 1-ին մաս): Հակառակ դեպքում համարվում է, որ չի պահանջվել։

Ի լրումն աշխատողի կամ հաճախորդի հետ պայմանավորվածության, տվյալների ստացման նպատակները պետք է արտացոլվեն հատուկ փաստաթղթում` նման տվյալների հետ աշխատելու ընկերության քաղաքականությունը: Սա պետք է լինի հրապարակային փաստաթուղթ։ Որպես կանոն, այն հրապարակվում է կազմակերպության կայքում՝ հատուկ բաժնում:

Պրոֆեսիոնալ օգնության համակարգիրավաբանների համար, որտեղ դուք կգտնեք ցանկացած, նույնիսկ ամենաբարդ հարցի պատասխանը։

Անձնական տվյալների մշակման և պաշտպանության կանոնակարգը սահմանում է ձեռնարկության աշխատողների մասին տեղեկություններ պարունակող տեղեկատվության հավաքագրման, կուտակման, պահպանման, օգտագործման, ջնջման և այլնի կարգը: Փաստաթուղթը պետք է նկարագրի PD-ն երրորդ անձանց փոխանցելու կարգը, PD-ի ավտոմատացված և ոչ ավտոմատացված մշակման առանձնահատկությունները, PD մուտք գործելու կարգը, ներքին հսկողության կազմակերպման կարգը և PD մշակման ընթացքում խախտումների համար պատասխանատվությունը:

Ինչպես կազմել կանոնակարգ անձնական տվյալների մշակման և պաշտպանության վերաբերյալ

Փաստաթուղթը մշակվում է Ռուսաստանի Դաշնության օրենսդրության համաձայն անձնական տվյալների և պետական ​​իշխանության գործադիր մարմինների կարգավորող և մեթոդական փաստաթղթերի PD անվտանգության հարցերի վերաբերյալ, երբ մշակվում է PD տեղեկատվական համակարգերում:

Անձնական տվյալների պաշտպանության կանոնակարգը սովորաբար բաղկացած է 11 բաժիններից.

1. Ընդհանուր դրույթներ.
2. PD մշակման նպատակներն ու խնդիրները.
3. ISPD-ում մշակված անձնական տվյալներ (լրիվ անուն, ծննդյան ամսաթիվ, կոնտակտային հեռախոսահամար, գրանցման հասցեն, փաստացի բնակության հասցեն):
4. Մուտք դեպի PD.
5. Անձնական տվյալների պաշտպանության հիմնական պահանջները.
6. Համաձայնություն PD-ի մշակմանը:
7. Սուբյեկտի իրավունքները օպերատորի կողմից մշակված անձնական տվյալների հետ կապված:
8. ISPDn օպերատորի իրավունքներն ու պարտականությունները.
9. Անձնական տվյալների մշակման և պաշտպանության կարգը:
10. Օպերատորի աշխատակիցների անձնական տվյալների մշակման առանձնահատկությունները.
11. Պատասխանատվություն սույն դրույթի խախտման համար:

Անձնական տվյալների մշակման և պաշտպանության մասին դրույթները կիրառվում են հավաքման, համակարգման, կուտակման, պահպանման, պարզաբանման, օգտագործման, բաշխման (ներառյալ փոխանցումը), ապանձնավորման, արգելափակման, անձնական տվյալների ոչնչացման բոլոր գործընթացների նկատմամբ, որոնք իրականացվում են ավտոմատացման գործիքների միջոցով և առանց դրանց: օգտագործել.

Անձնական տվյալների սուբյեկտներ

PD առարկաները ներառում են.

• Օպերատորի աշխատակիցներ.
• Աշխատանքի տեղավորման թեկնածուներ.
• Հաճախորդներ (օպերատորի ծառայությունների սպառողներ):
• Անհատ ձեռնարկատերերը օպերատորի գործընկերներն են:
• Կազմակերպությունների հաճախորդներ, օպերատորի գործընկերներ (կորպորատիվ հաճախորդների սպասարկում):
• Այլ անձինք, որոնց անձնական տվյալները մշակվում են օպերատորի կողմից:

Անձնական տվյալների մշակման և պաշտպանության մասին կանոնակարգն ուժի մեջ է մտնում հաստատման պահից և գործում է անժամկետ, մինչև այն փոխարինվի նոր կանոնակարգով։ Կազմակերպության բոլոր աշխատակիցները պետք է ծանոթ լինեն այս փաստաթղթին ստորագրության դիմաց:

Անձնական տվյալների մշակման և պաշտպանության կանոնակարգեր

Ընդհանուր դրույթներ

1.1.

Սույն Կանոնակարգը մշակվել է Ռուսաստանի Դաշնության օրենսդրության համաձայն անձնական տվյալների (այսուհետ՝ PD) և պետական ​​իշխանության գործադիր մարմինների կարգավորող և մեթոդական փաստաթղթերի PD-ի անվտանգության հարցերի վերաբերյալ, երբ մշակվում է PD տեղեկատվական համակարգերում (այսուհետ՝ որպես PDIS):

1.2.

Սույն Կանոնակարգի նպատակների համար օգտագործվում են հետևյալ տերմինները.

Անձնական տվյալներ (PD) - ուղղակի կամ անուղղակիորեն որոշված ​​կամ որոշված ​​ցանկացած տեղեկատվություն անհատի նկատմամբ(անձնական տվյալների առարկայի նկատմամբ);

օպերատոր՝ պետական ​​մարմին, քաղաքային մարմին, իրավաբանական կամ ֆիզիկական անձ, որն ինքնուրույն կամ այլ անձանց հետ համատեղ կազմակերպում և (կամ) իրականացնում է անձնական տվյալների մշակումը, ինչպես նաև որոշում է անձնական տվյալների մշակման նպատակները, անձնական կազմը. մշակման ենթակա տվյալներ, անձնական տվյալների հետ կատարված գործողություններ (գործառնություններ).

PD մշակում - ցանկացած գործողություն (գործողություն) կամ գործողությունների (գործողությունների) մի շարք, որոնք կատարվում են ավտոմատացման գործիքների միջոցով կամ առանց նման գործիքների օգտագործման PD-ով, ներառյալ հավաքումը, գրանցումը, համակարգումը, կուտակումը, պահպանումը, պարզաբանումը (թարմացում, փոփոխություն), հանում, օգտագործում: , անձնական տվյալների փոխանցում (տարածում, տրամադրում, մուտք), ապաանձնավորում, արգելափակում, ջնջում, ոչնչացում.

անձնական տվյալների ավտոմատացված մշակում - անհատական ​​տվյալների մշակում համակարգչային տեխնոլոգիայի միջոցով.

անձնական տվյալների տարածում - գործողություններ, որոնք ուղղված են անձնական տվյալների անորոշ թվով անձանց բացահայտմանը.

PD-ի տրամադրում - գործողություններ, որոնք ուղղված են որոշակի անձի կամ անձանց որոշակի շրջանակի PD-ի բացահայտմանը.

PD-ի արգելափակում - PD-ի մշակման ժամանակավոր դադարեցում (բացառությամբ այն դեպքերի, երբ մշակումն անհրաժեշտ է PD-ն պարզաբանելու համար);

PD-ի ոչնչացում - գործողություններ, որոնց արդյունքում անհնար է դառնում վերականգնել PD-ի բովանդակությունը ISPD-ում և (կամ) որի արդյունքում ոչնչացվում են PD-ի նյութական լրատվամիջոցները.

անձնական տվյալների ապանձնավորում՝ գործողություններ, որոնց արդյունքում անհնար է դառնում առանց օգտագործման լրացուցիչ տեղեկություններորոշել, թե արդյոք PD-ն պատկանում է կոնկրետ PD սուբյեկտին.

Անձնական տվյալների տեղեկատվական համակարգ (PDIS) - տվյալների բազաներում պարունակվող անձնական տվյալների մի շարք և դրանց մշակումն ապահովում տեղեկատվական տեխնոլոգիաներԵվ տեխնիկական միջոցներ;

Անձնական տվյալների միջսահմանային փոխանցում՝ անձնական տվյալների փոխանցում օտարերկրյա պետության տարածք օտարերկրյա պետության մարմնին, օտարերկրյա ֆիզիկական կամ օտարերկրյա իրավաբանական անձին:

1.3.

Սույն Կանոնակարգը սահմանում է PD-ի մշակման կարգը և պայմանները (այսուհետ՝ Օպերատոր), ներառյալ PD-ն երրորդ անձանց փոխանցելու կարգը, PD-ի ավտոմատացված և ոչ ավտոմատացված մշակման առանձնահատկությունները, PD մուտք գործելու կարգը, PD: պաշտպանության համակարգը, ներքին հսկողության կազմակերպման կարգը և ՊՊ մշակման ընթացքում խախտումների համար պատասխանատվությունը, այլ հարցեր:

1.4.

Սույն Կանոնակարգը կիրառվում է ավտոմատացման գործիքների օգտագործմամբ և առանց դրանց օգտագործման բոլոր գործընթացների՝ հավաքագրման, համակարգման, կուտակման, պահպանման, պարզաբանման, օգտագործման, բաշխման (ներառյալ փոխանցումը), անձնական տվյալների ապանձնավորումը, արգելափակումը, ոչնչացումը:

1.5.

Սույն Կանոնակարգն ուժի մեջ է մտնում Օպերատորի կողմից հաստատվելու պահից և գործում է անժամկետ՝ մինչև այն փոխարինվի նոր կանոնակարգով:

1.6.

Կանոնակարգի բոլոր փոփոխությունները կատարվում են պատվերով:

1.7.

Օպերատորի բոլոր աշխատակիցները ստորագրման պահից պետք է ծանոթ լինեն սույն Կանոնակարգին:

PD մշակման նպատակներն ու խնդիրները

2.1.

Անձնական տվյալների մշակումը պետք է սահմանափակվի հատուկ, նախապես սահմանված և օրինական նպատակների հասնելով: Անձնական տվյալների մշակումը, որն անհամատեղելի է անձնական տվյալների հավաքագրման նպատակների հետ, չի թույլատրվում:

2.2.

Չի թույլատրվում միավորել անձնական տվյալներ պարունակող տվյալների բազաները, որոնց մշակումն իրականացվում է միմյանց հետ անհամատեղելի նպատակներով։

2.3.

Մշակման ենթակա են միայն անձնական տվյալները, որոնք համապատասխանում են դրանց մշակման նպատակներին:

2.4.

2.5.

Օպերատորի աշխատակիցների անձնական տվյալների մշակումը կարող է իրականացվել բացառապես օրենքների և այլ կանոնակարգերի համապատասխանությունն ապահովելու, աշխատողներին աշխատանքի տեղավորման, վերապատրաստման և առաջխաղացման հարցում օգնելու, աշխատողների անձնական անվտանգության ապահովման, կատարված աշխատանքի քանակի և որակի մոնիտորինգի նպատակով: Օպերատորի գույքի անվտանգության ապահովումը.

2.6.

PD մշակման հիմնական նպատակներն են.

Անձնական տվյալների մշակման լրացուցիչ նպատակներն են.

2.7.

ISPDn-ը լուծումներ է տալիս հետևյալ խնդիրների համար.

ISPDn-ում մշակված անձնական տվյալները

3.1.

ISPD-ն մշակում է անձնական տվյալների հետևյալ սուբյեկտների անձնական տվյալները.

3.1.1.

Օպերատորի աշխատակիցներ;

3.1.2.

հաճախորդներ (Օպերատորի ծառայությունների սպառողներ);

3.1.3.

անհատ ձեռնարկատերեր - Օպերատորի գործընկերներ.

3.1.4.

կազմակերպությունների հաճախորդներ, Օպերատորի գործընկերներ (կորպորատիվ հաճախորդների սպասարկում).

3.2.

Այս ցանկը կարող է վերանայվել ըստ անհրաժեշտության:

3.3.

PD սուբյեկտների անձնական տվյալները ներառում են.

3.4.

Օպերատորի տեղեկատվական համակարգում պահպանվող անձնական տվյալների ցանկում ձևավորվում են մշակված անձնական տվյալների ամբողջական ցուցակները:

Անձնական տվյալների հասանելիություն

4.1.

Օպերատորի աշխատակիցները, ովքեր իրենց ծառայողական պարտականություններից ելնելով մշտապես աշխատում են անձնական տվյալների հետ, մուտք են ստանում անձնական տվյալների պահանջվող կատեգորիաները իրենց համապատասխան ծառայողական պարտականությունների կատարման ընթացքում՝ անձնական տվյալների հետ աշխատելու լիազորված անձանց ցանկի հիման վրա, որը հաստատում է Օպերատորի ղեկավարը: Ցանկը կազմված է Հայեցակարգի հիման վրա տեղեկատվական անվտանգությունև տեղեկատվական անվտանգության քաղաքականությունը:

4.2.

Տեղեկատվական համակարգի համար անձնական տվյալներին հասանելիություն ունեցող անձանց ցանկը պետք է թարմացվի:

4.3.

Օպերատորը սահմանել է անձնական տվյալների մուտքի թույլտվության կարգ։ Օպերատորի աշխատակիցներին անձնական տվյալների հետ աշխատելու հնարավորություն է տրվում միայն այն չափով և չափով, որն անհրաժեշտ է, որպեսզի նրանք կատարեն իրենց ծառայողական պարտականությունները՝ կառավարչի որոշման հիման վրա:

4.4.

Պաշտոնական կարիքներից ելնելով անձնական տվյալների հետ աշխատելու ժամանակավոր կամ միանվագ թույլտվություն կարող է ստանալ Օպերատորի աշխատակիցը՝ Կառավարչի հաստատմամբ:

4.5.

Արգելվում է երրորդ անձանց մուտքը Օպերատորի աշխատողներ չհանդիսացող երրորդ անձանց՝ առանց PD սուբյեկտի համաձայնության, բացառությամբ գործադիր իշխանության աշխատողների մուտքի, որն իրականացվում է որպես օրենսդրության կատարումը վերահսկելու և վերահսկելու միջոցառումների մաս, համապատասխան պետական ​​մարմինների գործառույթների և լիազորությունների իրականացումը. Պետական ​​մարմնի պահանջով կամ պահանջով տեղեկատվության տրամադրումն իրականացվում է օպերատորի ղեկավարի գիտությամբ:

4.6.

Եթե ​​երրորդ կողմի կազմակերպության աշխատակցին անհրաժեշտ է օգտվել Օպերատորի PD-ից, ապա անհրաժեշտ է, որ երրորդ կողմի կազմակերպության հետ պայմանագրով ամրագրվեն PD-ի գաղտնիության պայմանները և երրորդ կողմի կազմակերպության և նրա աշխատակիցների պարտավորությունը համապատասխանելու համար: ՊՊ պաշտպանության ոլորտում գործող օրենսդրության պահանջները. Բացի այդ, Օպերատորի աշխատակից չհանդիսացող անձանց կողմից անձնական տվյալների հասանելիության դեպքում պետք է ձեռք բերվի անձնական տվյալների սուբյեկտների համաձայնությունը՝ իրենց անձնական տվյալները երրորդ անձանց տրամադրելու համար: Նշված համաձայնությունը չի պահանջվում, եթե PD-ն տրամադրվում է Օպերատորի կողմից PD սուբյեկտի հետ կնքված քաղաքացիական պայմանագիրը կնքելու նպատակով:

4.7.

Օպերատորի աշխատակցի մուտքն անձնական տվյալներ դադարեցվում է աշխատանքային հարաբերությունների դադարեցման կամ աշխատողի աշխատանքային պարտականությունների փոփոխության և (կամ) անձնական տվյալների հասանելիության իրավունք ունեցող անձանց ցուցակից աշխատողի բացառման օրվանից: Աշխատանքից ազատվելու դեպքում ՊԴ պարունակող բոլոր լրատվամիջոցները, որոնք, համաձայն աշխատանքային պարտականություններըաշխատանքի ընթացքում եղել են աշխատողի տրամադրության տակ, պետք է փոխանցվեն համապատասխան պաշտոնատար անձին:

Անձնական տվյալների պաշտպանության հիմնական պահանջները

5.1.

Տեղեկատվական համակարգում անձնական տվյալները մշակելիս պետք է ապահովվի հետևյալը.

ա) միջոցառումների իրականացում, որոնք ուղղված են կանխելու անձնական տվյալների չարտոնված մուտքը և (կամ) դրանց փոխանցումն այն անձանց, ովքեր իրավունք չունեն մուտք գործել այդպիսի տեղեկատվություն.

բ) անձնական տվյալների չարտոնված մուտքի փաստերի ժամանակին հայտնաբերում.

գ) կանխել անձնական տվյալների ավտոմատացված մշակման տեխնիկական միջոցների վրա ազդեցությունը, ինչի հետևանքով դրանց գործունեությունը կարող է խաթարվել.

դ) դրանց չթույլատրված մուտքի պատճառով փոփոխված կամ ոչնչացված անձնական տվյալների անհապաղ վերականգնման հնարավորությունը.

ե) մշտական ​​հսկողություն ՊԴ անվտանգության մակարդակի ապահովման նկատմամբ.

5.2.

Օպերատորը պարտավոր է ձեռնարկել անհրաժեշտ իրավական, կազմակերպչական, տեխնիկական և այլ միջոցներ՝ անձնական տվյալների անվտանգությունն ապահովելու համար։

5.3.

Անվտանգության պահանջները մշակելու և PD անվտանգության համակարգ ներդնելու համար Օպերատորը մշակել է «ՊՏ անվտանգության սպառնալիքների մոդել, երբ մշակվում է ISPD-ում»՝ հիմնված կարգավորող և մեթոդաբանական փաստաթղթի վրա: Ռուսաստանի FSTEC«Անհատական ​​տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների անվտանգությանը սպառնացող վտանգների հիմնական մոդելը»:

5.4.

Օպերատոր՝ համաձայն պետական ​​կառավարման մարմինների կառավարման փաստաթղթի. Ռուսաստանի Դաշնության Կառավարության 2012 թվականի նոյեմբերի 1-ի թիվ 1119 «Անձնական տվյալների տեղեկատվական համակարգերում դրանց մշակման ընթացքում անձնական տվյալների պաշտպանության պահանջները հաստատելու մասին» որոշումը:իրականացվել է Օպերատորի ISPD-ի դասակարգում:

5.5.

Հանձնաժողովը կազմել է ավտոմատացման գործիքների միջոցով մշակված ISPD-ի դասակարգման վկայագիր.

5.6.

Օպերատորը, ISPD-ի ստուգման հաշվետվության հիման վրա և Ռուսաստանի FSTEC-ի կարգավորող և մեթոդական փաստաթղթի համաձայն, «Անձնական տվյալների տեղեկատվական համակարգերում մշակված անձնական տվյալների անվտանգության կազմակերպման և տեխնիկական աջակցության հիմնական միջոցները» մշակել է. և իրականացրել է անձնական տվյալների պաշտպանության և անվտանգության ապահովման միջոցառումների մի շարք («Գործողությունների ծրագիր»)՝ ապահովելու անձնական տվյալների անվտանգությունը»):

5.7.

Օպերատորը օգտագործում է տեխնիկական միջոցներ և ծրագրային ապահովում անձնական տվյալների մշակման և պաշտպանության համար: Պահվում է նաև անձնական տվյալների պաշտպանության միջոցների մատյան։

5.8.

Օպերատորը վարում է շարժական կրիչների հաշվառման և պահպանման մատյան:

5.9.

ISPD-ի վերը նշված տեխնիկական միջոցները գտնվում են Օպերատորի գրասենյակում և տարածքներում:

5.10.

PD-ի հետ աշխատելու լիազորված բոլոր անձինք, ինչպես նաև նրանք, ովքեր կապված են ISPD-ի շահագործման և տեխնիկական աջակցության հետ, պետք է ստորագրման պահից ծանոթ լինեն սույն Կանոնակարգի պահանջներին, ինչպես նաև պետք է ստորագրեն «Անձնական տվյալների գաղտնիությունն ապահովելու մասին համաձայնագիրը: օպերատորի աշխատակիցներ», տրված սույն կանոնակարգի Հավելվածում:

5.11.

Օպերատորը կազմակերպել է Օպերատորի կողմից շահագործվող անձնական տվյալների պաշտպանության միջոցների օգտագործման ուսուցման գործընթաց: Այս ոլորտում ուսուցումը խորհուրդ է տրվում տառապող մարդկանց մշտական ​​մուտք PD-ին և այն անձանց, ովքեր շահագործում են ISPD և ISPD պաշտպանության միջոցների ապարատային և ծրագրային ապահովումը: ISPD տեղեկատվական անվտանգության գործիքների շահագործման համար պատասխանատու անձինք պետք է անցնեն պարտադիր վերապատրաստում:

5.12.

Աշխատակիցները պարտավոր են անհապաղ տեղեկացնել Օպերատորի համապատասխան պաշտոնատար անձին անձնական տվյալներ կազմող կրիչի կորստի կամ պակասի, ինչպես նաև անձնական տվյալների հնարավոր արտահոսքի պատճառների և պայմանների մասին: Եթե ​​չլիազորված անձինք փորձեն ձեռք բերել Օպերատորի կողմից մշակված աշխատակցի PD-ից, անմիջապես տեղեկացրեք Օպերատորի համապատասխան պաշտոնատար անձին:

Համաձայնություն PD-ի մշակմանը

6.1.

PD սուբյեկտը որոշում է տրամադրել իր PD-ն և համաձայնում է դրա մշակմանը ազատորեն, իր կամքով և իր շահերից ելնելով: Անձնական տվյալների մշակման համաձայնությունը պետք է լինի կոնկրետ, տեղեկացված և գիտակցված: Անձնական տվյալների մշակման համաձայնությունը կարող է տրվել անձնական տվյալների սուբյեկտի կամ նրա ներկայացուցչի կողմից ցանկացած ձևով, որը թույլ է տալիս հաստատել դրա ստացման փաստը, եթե այլ բան նախատեսված չէ Ռուսաստանի Դաշնության օրենսդրությամբ: Եթե ​​PD-ի մշակման համաձայնությունը ստացվում է PD սուբյեկտի ներկայացուցչից, ապա այս ներկայացուցչի լիազորությունները՝ համաձայնություն տալու PD սուբյեկտի անունից, ստուգվում են Օպերատորի կողմից:

6.2.

Անձնական տվյալների մշակման համար գրավոր համաձայնություն ստանալն իրականացվում է Օպերատորի աշխատակցի կողմից՝ անձնական տվյալների սուբյեկտից անձնական տվյալներ ստանալուց հետո, Օպերատորի ISPD-ի կողմից սահմանված ձևով գրավոր համաձայնություն տալով:

Սուբյեկտի իրավունքները օպերատորի կողմից մշակված անձնական տվյալների հետ կապված

7.1.

PD առարկան իրավունք ունի.

Օպերատորից տեղեկատվություն ստանալ իր անձնական տվյալների մշակման վերաբերյալ: Տեղեկատվությունը Օպերատորի կողմից պետք է տրամադրվի PD սուբյեկտին մատչելի ձևով, և այն չպետք է պարունակի այլ PD սուբյեկտների հետ կապված PD, բացառությամբ այն դեպքերի, երբ չկան օրինական հիմքեր նման PD-ի բացահայտման համար: Տեղեկատվության ցանկը և տեղեկատվություն ստանալու կարգը նախատեսված է Ռուսաստանի Դաշնության գործող օրենսդրությամբ.

Օպերատորից պահանջեք պարզաբանել իր անձնական տվյալները, արգելափակել կամ ոչնչացնել դրանք, եթե անձնական տվյալները թերի են, հնացած, ոչ ճշգրիտ, անօրինական կերպով ձեռք բերված կամ անհրաժեշտ չեն մշակման նշված նպատակի համար, ինչպես նաև ձեռնարկել միջոցներ, որոնք նախատեսված են Ռուսաստանի Դաշնության օրենսդրությամբ: Ֆեդերացիա՝ պաշտպանելու իրենց իրավունքները.

Ենթակա է նախնական գրավոր համաձայնության՝ անձնական տվյալները մշակելիս՝ ապրանքների, աշխատանքների, ծառայությունների շուկայում առաջ մղելու նպատակով՝ կապի միջոցով պոտենցիալ սպառողների հետ անմիջական կապ հաստատելով, ինչպես նաև քաղաքական քարոզչության նպատակով.

Օպերատորի կողմից PD-ի բացառապես ավտոմատացված մշակման հիման վրա որոշումներ կայացնելիս գրավոր համաձայնության պայմանով, որոնք իրավական հետևանքներ են առաջացնում PD-ի սուբյեկտի հետ կապված կամ այլ կերպ շոշափում են նրա իրավունքները և օրինական շահերը.

Առարկություններ ներկայացնել Օպերատորի որոշումների դեմ՝ հիմնված բացառապես նրա անձնական տվյալների ավտոմատացված մշակման և նման որոշման հնարավոր իրավական հետևանքների վրա.

Օպերատորի գործողությունները կամ անգործությունը բողոքարկել անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազորված մարմնին կամ դատարանում:

ISPDn օպերատորի իրավունքներն ու պարտականությունները

8.1.

ISPDn օպերատորն իրավունք ունի.

8.1.1.

PD-ի մշակումը վստահել մեկ այլ անձի՝ PD սուբյեկտի համաձայնությամբ, եթե այլ բան նախատեսված չէ դաշնային օրենքով, այս անձի հետ կնքված համաձայնագրի հիման վրա, ներառյալ պետական ​​կամ քաղաքային պայմանագիրը, կամ համապատասխան ակտի ընդունմամբ: պետական ​​կամ քաղաքային մարմին:

8.1.2.

Եթե ​​PD սուբյեկտը հրաժարվում է PD մշակման համաձայնությունից, շարունակեք PD մշակումը առանց PD սուբյեկտի համաձայնության, եթե կան Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված հիմքեր:

8.1.3.

Մերժել անձնական տվյալների առարկան՝ կատարել Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված պայմաններին չհամապատասխանող տեղեկատվության կրկնակի հարցումը: Նման մերժումը պետք է մոտիվացված լինի։ Կրկնվող հարցումը կատարելուց հրաժարվելու վավերականության ապացույցներ ներկայացնելու պարտավորությունը կրում է օպերատորը:

8.1.4.

Անկախ որոշեք միջոցառումների կազմը և ցանկը, որոնք անհրաժեշտ և բավարար են՝ ապահովելու համար Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված IPDN օպերատորի պարտավորությունների կատարումը:

8.2.

ISPD օպերատորը պարտավոր է.

8.2.1.

Նախքան PD-ի մշակումը սկսելը, օպերատորը պարտավոր է ծանուցել PD-ի սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնին PD մշակելու իր մտադրության մասին, բացառությամբ Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված դեպքերի:

8.2.2.

PD-ին հասանելիություն ձեռք բերելու դեպքում մի բացահայտեք PD-ն երրորդ անձանց կամ մի տարածեք PD առանց PD-ի սուբյեկտի համաձայնության, եթե այլ բան նախատեսված չէ դաշնային օրենքով:

8.2.3.

Տրամադրել ապացույցներ այն մասին, որ ձեռք է բերվել PD-ի համաձայնությունը, որը ենթակա է մշակման իր PD-ի կամ ապացույցների առկայության օրինական հիմքերի առկայության PD մշակման առանց PD սուբյեկտի համաձայնության.

8.2.4.

Նախքան անձնական տվյալների միջսահմանային փոխանցումը սկսելը, համոզվեք, որ այն օտարերկրյա պետությունը, որի տարածք են փոխանցվում անձնական տվյալները, ապահովում է անձնական տվյալների սուբյեկտների իրավունքների համարժեք պաշտպանությունը:

8.2.5.

PD սուբյեկտի խնդրանքով դադարեցրեք նրա PD-ի մշակումը շուկայում ապրանքների, աշխատանքների, ծառայությունների առաջխաղացման համար՝ կապի միջոցով պոտենցիալ սպառողների հետ անմիջական կապ հաստատելով, ինչպես նաև քաղաքական քարոզչության նպատակով:

8.2.6.

Բացատրեք PD սուբյեկտին բացառապես իր PD-ի ավտոմատացված մշակման հիման վրա որոշում կայացնելու կարգը և նման որոշման հնարավոր իրավական հետևանքները, հնարավորություն ընձեռեք առարկելու նման որոշմանը, ինչպես նաև բացատրել PD-ի պաշտպանության ենթակա ընթացակարգը: նրա իրավունքներն ու օրինական շահերը։

Օպերատորը պարտավոր է առարկությունը քննարկել այն ստանալու օրվանից երեսուն օրվա ընթացքում և ծանուցել PD սուբյեկտին նման առարկության քննարկման արդյունքների մասին:

8.2.7.

PD հավաքելիս PD սուբյեկտին տրամադրեք նրա խնդրանքով Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված տեղեկատվությունը:

Եթե ​​PD սուբյեկտի համար Օպերատորին PD-ի տրամադրումը պարտադիր է դաշնային օրենքի համաձայն, Օպերատորը պարտավոր է բացատրել PD սուբյեկտին իր PD-ի տրամադրումից հրաժարվելու իրավական հետևանքները:

8.2.8.

Եթե ​​PD-ն չի ստացվել PD սուբյեկտից, ապա Օպերատորը, բացառությամբ Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված դեպքերի, նախքան այդպիսի PD-ն մշակելը, PD սուբյեկտին տրամադրում է հետևյալ տեղեկատվությունը.

1) օպերատորի կամ նրա ներկայացուցչի անունը կամ ազգանունը, անունը, հայրանունը և հասցեն.

2) PD մշակման նպատակը և դրա իրավական հիմքը.

3) անձնական տվյալների նպատակային օգտվողներ.

4) սույն դաշնային օրենքով սահմանված անձնական տվյալների սուբյեկտի իրավունքները.

5) ՊԴ ստացման աղբյուրը.

8.2.9.

Ձեռնարկեք անհրաժեշտ և բավարար միջոցներ՝ ապահովելու համար Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված IPDN օպերատորի պարտավորությունների կատարումը:

8.2.11.

Տեղեկատվական և հեռահաղորդակցական ցանցերի միջոցով PD հավաքելիս համապատասխան տեղեկատվական և հեռահաղորդակցական ցանցում հրապարակեք փաստաթուղթ, որը սահմանում է իր քաղաքականությունը PD-ի մշակման վերաբերյալ և տեղեկատվություն PD-ի պաշտպանության համար իրականացվող պահանջների մասին, ինչպես նաև տրամադրեք նշվածը մուտք գործելու հնարավորություն: փաստաթուղթ՝ օգտագործելով համապատասխան տեղեկատվական-հեռահաղորդակցային ցանցը:

8.2.12.

Ներկայացրեք Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված փաստաթղթեր և տեղական ակտեր և (կամ) այլ կերպ հաստատեք IPDN օպերատորի պարտավորությունների կատարումն ապահովելու համար անհրաժեշտ և բավարար միջոցների ընդունումը` պաշտպանության լիազորված մարմնի խնդրանքով: PD սուբյեկտների իրավունքները.

8.2.13.

PD մշակելիս ձեռնարկեք անհրաժեշտ իրավական, կազմակերպչական և տեխնիկական միջոցներ կամ ապահովեք դրանց ընդունումը՝ պաշտպանելու PD-ին չարտոնված կամ պատահական մուտքից, PD-ի ոչնչացումից, ձևափոխումից, արգելափակումից, պատճենումից, տրամադրումից, տարածումից, ինչպես նաև այլ ապօրինի գործողություններից: PD-ի հետ կապված.

8.2.14.

Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված կարգով անձնական տվյալների սուբյեկտին կամ նրա ներկայացուցչական տեղեկատվությանը անվճար տեղեկացնել անձնական տվյալների համապատասխան առարկայի հետ կապված անձնական տվյալների առկայության մասին, ինչպես նաև հնարավորություն ընձեռել ծանոթանալու. այս անձնական տվյալները անձնական տվյալների սուբյեկտին կամ նրա ներկայացուցչին դիմելիս կամ սուբյեկտի խնդրանքը PD-ին կամ նրա ներկայացուցչին ստանալու օրվանից երեսուն օրվա ընթացքում:

8.2.15.

ՊՁ սուբյեկտին կամ նրա ներկայացուցչին համապատասխան PD սուբյեկտի կամ PD-ի վերաբերյալ տեղեկատվություն տրամադրելուց հրաժարվելու դեպքում կամ նրա խնդրանքով կամ ստանալուց հետո, օպերատորը պարտավոր է տալ. գրավոր պատճառաբանված պատասխան, որը պարունակում է հղում Ռուսաստանի Դաշնության օրենսդրության դրույթին, որը հիմք է հանդիսանում նման մերժման համար, PD սուբյեկտի կամ նրա ներկայացուցչի կամ նրա ներկայացուցչի դիմումի օրվանից երեսուն օրվա ընթացքում ոչ ավելի. PD սուբյեկտի կամ նրա ներկայացուցչի խնդրանքը ստանալու մասին:

8.2.16.

ՊՎ-ի սուբյեկտը կամ նրա ներկայացուցիչը տեղեկատվություն տրամադրելու օրվանից ոչ ավելի, քան յոթ աշխատանքային օրվա ընթացքում, որը հաստատում է, որ ՊՎ-ի թերի, ոչ ճշգրիտ կամ անտեղի լինելը, Օպերատորը պարտավոր է դրանք կատարել անհրաժեշտ փոփոխություններ: PD սուբյեկտը կամ նրա ներկայացուցիչը ոչ ավելի, քան յոթ աշխատանքային օրվա ընթացքում տեղեկատվություն է ներկայացնում, որը հաստատում է, որ այդպիսի PD-ն ապօրինի է ձեռք բերվել կամ անհրաժեշտ չէ մշակման նշված նպատակի համար, օպերատորը պարտավոր է ոչնչացնել այդպիսի PD: Օպերատորը պարտավոր է ծանուցել PD սուբյեկտին կամ նրա ներկայացուցչին կատարված փոփոխությունների և ձեռնարկված միջոցառումների մասին և ձեռնարկել ողջամիտ միջոցներ՝ տեղեկացնելու երրորդ անձանց, ում փոխանցվել է այս սուբյեկտի PD-ն:

8.2.17.

Անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազորված մարմնին սույն մարմնի պահանջով զեկուցել անհրաժեշտ տեղեկատվությունը նման հարցումն ստանալու օրվանից երեսուն օրվա ընթացքում:

8.2.18.

Օպերատորի կամ Օպերատորի անունից հանդես եկող անձի կողմից PD-ի ապօրինի մշակման հայտնաբերման դեպքում Օպերատորը, այս հայտնաբերման օրվանից ոչ ավելի, քան երեք աշխատանքային օրվա ընթացքում, պարտավոր է դադարեցնել PD-ի ապօրինի մշակումը: կամ ապահովել Օպերատորի անունից հանդես եկող անձի կողմից PD-ի ապօրինի մշակման դադարեցումը: Եթե ​​անհնար է ապահովել PD-ի մշակման օրինականությունը, ապա Օպերատորը ապօրինի PD մշակման հայտնաբերման օրվանից ոչ ավելի, քան տասը աշխատանքային օրվա ընթացքում, պարտավոր է ոչնչացնել այդպիսի PD կամ ապահովել դրա ոչնչացումը: Օպերատորը պարտավոր է ծանուցել PD սուբյեկտին կամ նրա ներկայացուցչին խախտումների վերացման կամ PD-ի ոչնչացման մասին, և եթե PD սուբյեկտի կամ նրա ներկայացուցչի բողոքը կամ լիազորված մարմնի խնդրանքը PD սուբյեկտների իրավունքների պաշտպանության համար. ուղարկվել է ՊՁ սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնի, ինչպես նաև նշված մարմնի կողմից:

8.2.19.

Անձնական տվյալների մշակման նպատակին հասնելու դեպքում Օպերատորը պարտավոր է դադարեցնել անձնական տվյալների մշակումը կամ ապահովել դրանց դադարեցումը (եթե անձնական տվյալների մշակումն իրականացվում է Օպերատորի անունից հանդես եկող այլ անձի կողմից) և ոչնչացնել անձնական տվյալները կամ ապահովել դրանց ոչնչացումը։ (եթե անձնական տվյալների մշակումն իրականացվում է Օպերատորի անունից հանդես եկող մեկ այլ անձի կողմից) ժամանակին, PD մշակման նպատակին հասնելու օրվանից երեսուն օրը չգերազանցող, եթե այլ բան նախատեսված չէ պայմանագրով, որին PD սուբյեկտը պատկանում է. կողմը, շահառուն կամ երաշխավորը, մեկ այլ պայմանագիր Օպերատորի և PD սուբյեկտի միջև, կամ եթե Օպերատորն իրավունք չունի մշակել PD առանց PD սուբյեկտի համաձայնության Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված հիմքերով:

8.2.20.

Եթե ​​PD սուբյեկտը հրաժարվում է իր PD-ի մշակման համաձայնությունից, դադարեցրեք դրանց մշակումը կամ ապահովեք այդպիսի մշակման դադարեցումը (եթե PD մշակումն իրականացվում է Օպերատորի անունից հանդես եկող մեկ այլ անձի կողմից) և եթե PD-ի պահպանումն այլևս չի ՊՊ մշակման նպատակով պահանջվող, ոչնչացնել PD-ն կամ ապահովել դրանց ոչնչացումը (եթե PD մշակումն իրականացվում է Օպերատորի անունից հանդես եկող մեկ այլ անձի կողմից) նշված պատասխանը ստանալու օրվանից ոչ ավելի, քան երեսուն օրվա ընթացքում, բացառությամբ այն դեպքերի, երբ այլ կերպ նախատեսված է պայմանագրով, որի կողմ, շահառու կամ երաշխավոր է հանդիսանում PD սուբյեկտը, կամ այլ պայմանագրով օպերատորի և PD սուբյեկտի միջև, կամ եթե Օպերատորն իրավունք չունի մշակել PD առանց PD սուբյեկտի համաձայնության` նախատեսված հիմքերով. Ռուսաստանի Դաշնության օրենսդրությամբ:

8.2.21.

Նշանակել անձնական տվյալների մշակման կազմակերպման համար պատասխանատու անձ:

Անձնական տվյալների մշակման և պաշտպանության կարգը

9.1.

Օպերատորի կողմից մշակված անձնական տվյալների գաղտնիության ապահովումը պարտադիր պահանջ է բոլոր այն անձանց համար, ում անձնական տվյալները հայտնի են դարձել:

9.2.

Օպերատորի աշխատակիցները, ովքեր փաստաթղթեր են մշակում, պարտավոր են ստանալ հաստատված դեպքերը PD սուբյեկտների համաձայնությունը վերամշակման համար:

9.3.

PD-ի մշակման սահմանված կարգի խախտման դեպքում Օպերատորի աշխատակիցները պատասխանատվություն են կրում սույն Կանոնակարգի 9-րդ բաժնի համաձայն:

9.4.

Օպերատորի կողմից մշակված թղթի վրա առարկաների PD-ն պահվում է բաժիններում (աշխատակիցների հետ), ովքեր ունեն համապատասխան PD մշակելու թույլտվություն: Աշխատակիցներին ոչ ավտոմատացված ISPD-ում ընդունելու իրավունքը որոշվում է Կառավարչի հրամանով: Անձնական տվյալների կրիչները չպետք է մնան առանց հսկողության: Աշխատավայրից հեռանալիս անձնական տվյալներ մշակող աշխատակիցները պետք է լրատվամիջոցները դնեն ապահով, կողպված պահարանում կամ այլ կերպ սահմանափակեն լրատվամիջոցների չարտոնված մուտքը: Եթե ​​PD-ն կորել կամ վնասվել է, այն հնարավորության դեպքում վերականգնվում է:

9.5.

PD պարունակող փաստաթղթերի պահպանման վայրեր.

9.5.1.

Օպերատորի հաճախորդների PD (պայմանագրեր, ակտեր, համաձայնագրեր, հարցաթերթիկներ, անձնագրերի պատճեններ, Օպերատորի հաճախորդների PD պարունակող այլ նմանատիպ փաստաթղթեր, պահեստային կրիչներ (ֆլեշ քարտեր, սկավառակներ և այլն) պահվում են Օպերատորի հիմնական և պահուստային գրասենյակներում: , դրվում է դարակներում և փակվում բանալիով Կառավարիչի հրամանով որոշվում է հսկողություն իրականացնող պատասխանատու անձը։

9.5.2.

Օպերատորի աշխատակիցների անձնական տվյալները՝ փաստաթղթերը, կրիչները (ֆլեշ քարտեր, ձայնասկավառակներ և այլն) պահվում են ընկերության չհրկիզվող պահարանում և կողպված բանալիով: Վերահսկողություն իրականացնող պատասխանատու անձը օպերատորի ղեկավարն է:

9.6.

Փաստաթղթերի վերանայման տրամադրումն իրականացվում է ծառայողական պարտականությունների կատարման նպատակով համապատասխան տեղեկատվության ընդունված անձանց մեկ աշխատանքային օրից ոչ ավելի ժամկետով:

9.7.

Այլ պահեստային կրիչներ կարող են պահվել Օպերատորի հիմնական և պահեստային գրասենյակներում, տեղադրվել դարակներում և կողպված բանալիով կամ կազմակերպության չհրկիզվող պահարանում: Տեղեկատվության այլ կրիչների նկատմամբ վերահսկողություն իրականացնող պատասխանատու անձը որոշվում է Կառավարչի հրամանով:

9.8.

Ծրագրային ապահովման հետ աշխատելիս ավտոմատացված համակարգ PD դիտելու և խմբագրելու գործառույթներն իրականացնող օպերատորին արգելվում է ցուցադրել էկրանի ձևերնման տվյալներ պարունակող անձանց համար, ովքեր չունեն համապատասխան թույլտվություն:

9.9.

Օպերատորի աշխատակցի կողմից PD ստանալիս, որն իր աշխատանքային պարտականություններին համապատասխան, հաճախորդից կամ այլ անձի աշխատակցից ստանում է PD, պետք է ստուգվի PD-ի իսկությունը: Օպերատորի կողմից ստացված PD-ի մուտքագրում տեղեկատվական համակարգիրականացվում է աշխատողների կողմից, ովքեր մուտք ունեն համապատասխան PD: Տեղեկատվություն մուտքագրող աշխատակիցները պատասխանատվություն են կրում մուտքագրված տեղեկատվության ճշգրտության և ամբողջականության համար:

9.10.

Թղթի վրա պարունակվող անձնական տվյալների մշակման առանձնահատկությունները, առանց ավտոմատացման գործիքների օգտագործման (անձնական համակարգիչ չի օգտագործվում փաստաթղթերը կազմելիս) սահմանվում են Ռուսաստանի Դաշնության Կառավարության 2008 թվականի սեպտեմբերի 15-ի N 687 «Մի մասին» որոշման համաձայն: «Անձնական տվյալների մշակման առանձնահատկությունների մասին կանոնակարգերի հաստատում, որն իրականացվում է առանց ավտոմատացման գործիքների օգտագործման»:

9.11.

Անձնական տվյալների տարբեր կատեգորիաների ձեռքով մշակելիս անձնական տվյալների յուրաքանչյուր կատեգորիայի համար պետք է օգտագործվի առանձին նյութական միջոց:

9.12.

Անձնական տվյալների թղթի վրա ոչ ավտոմատացված մշակման դեպքում.

9.12.1.

Չի թույլատրվում մեկ թղթային միջավայրի վրա ձայնագրել PD, որի մշակման նպատակներն ակնհայտորեն անհամատեղելի են.

9.12.2.

PD-ն պետք է առանձնացվի այլ տեղեկություններից, մասնավորապես՝ դրանք գրանցելով առանձին թղթային կրիչների վրա, հատուկ բաժիններում կամ ձևաթղթերի (ձևաթղթերի) դաշտերում.

9.13.

Փաստաթղթերի ստանդարտ ձևեր օգտագործելիս, տեղեկատվության բնույթը, որում ենթադրում կամ թույլ է տալիս ներառել PD-ն դրանցում (այսուհետ՝ ստանդարտ ձևեր), պետք է պահպանվեն հետևյալ պայմանները.

9.13.1.

Ստանդարտ ձևը կամ հարակից փաստաթղթերը (այն լրացնելու հրահանգներ, քարտեր, գրանցամատյաններ և ամսագրեր) պետք է պարունակեն տեղեկատվություն PD-ի ոչ ավտոմատացված մշակման նպատակի, Օպերատորի անունը (անունը) և հասցեն, ազգանունը, անունը, հայրանունը: և PD-ի սուբյեկտի հասցեն, PD-ի ստացման աղբյուրը, անձնական տվյալների մշակման ժամկետները, անձնական տվյալների հետ գործողությունների ցանկը, որոնք կատարվելու են դրանց մշակման ընթացքում, օպերատորի կողմից օգտագործվող անձնական տվյալների մշակման մեթոդների ընդհանուր նկարագրությունը. ;

9.13.2.

Ստանդարտ ձևը պետք է ներառի դաշտ, որտեղ PD սուբյեկտը կարող է նշել իր համաձայնությունը ոչ ավտոմատացված PD մշակման համար, եթե անհրաժեշտ է ստանալ գրավոր համաձայնություն PD մշակման համար.

9.13.3.

Ստանդարտ ձևը պետք է կազմվի այնպես, որ փաստաթղթում պարունակվող PD սուբյեկտներից յուրաքանչյուրը հնարավորություն ունենա ծանոթանալու փաստաթղթում պարունակվող իրենց PD-ին` չխախտելով այլ PD սուբյեկտների իրավունքներն ու օրինական շահերը.

9.13.4.

Ստանդարտ ձևը պետք է բացառի անձնական տվյալների մուտքագրման համար նախատեսված դաշտերի համակցությունը, որոնց մշակման նպատակներն ակնհայտորեն անհամատեղելի են:

9.14.

PD-ի պահպանումը պետք է իրականացվի այնպիսի ձևով, որը թույլ կտա նույնականացնել PD-ի առարկան, ոչ ավելի, քան պահանջվում է PD-ի մշակման նպատակներով, բացառությամբ այն դեպքերի, երբ PD-ի պահպանման ժամկետը սահմանված չէ դաշնային օրենքով, համաձայնագիր, որով PD-ի առարկան նախատեսված է: կողմ, շահառու կամ երաշխավոր:

9.15.

Անձնական տվյալների ոչնչացման, արգելափակման և պարզաբանման դեպքեր.

9.16.

Անձնական տվյալների մի մասի ոչնչացումը կամ ապանձնավորումը, եթե թույլատրվում է շոշափելի կրիչով, կարող է իրականացվել այնպես, որ բացառվի այս անձնական տվյալների հետագա մշակումը` պահպանելով շոշափելի կրիչի վրա գրանցված այլ տվյալների մշակման հնարավորությունը (ջնջում, ջնջում):

9.17.

Անձնական տվյալների պարզաբանումը, երբ դրանք մշակվում են առանց ավտոմատացման գործիքների օգտագործման, իրականացվում է շոշափելի միջավայրում տվյալների թարմացման կամ փոփոխման միջոցով, և եթե դա չի թույլատրվում. տեխնիկական հատկանիշներ նյութական կրող- նույն նյութական կրիչի վրա դրանցում կատարված փոփոխությունների մասին տեղեկատվությունը ձայնագրելով կամ թարմացված PD-ով նոր նյութական կրիչ արտադրելով:

9.18.

Անձնական տվյալներ պարունակող լրատվամիջոցների ոչնչացումն իրականացվում է հետևյալ հաջորդականությամբ.

9.18.1.

Թղթի վրա PD-ն ոչնչացվում է Օպերատորի գրասենյակում տեղադրված մանրացնող սարքերի (փաստաթղթերի մանրացման սարքերի) միջոցով:

9.18.2.

PD-ն, որը գտնվում է ԱՀ-ի հիշողության մեջ, ոչնչացվում է՝ այն ջնջելով ԱՀ-ի հիշողությունից:

9.18.3.

Ֆլեշ քարտի, CD-ի կամ այլ պահեստային կրիչի վրա տեղադրված PD-ն ոչնչացվում է ֆայլը կրիչից ջնջելու միջոցով, անհրաժեշտության դեպքում՝ խափանելով ֆլեշ քարտի կամ CD-ի ֆունկցիոնալությունը:

9.19.

Կազմվում է արձանագրություն պահեստային միջավայրի ոչնչացման մասին (հաշվետվությունների ձևերը տես հավելվածներում)։

9.20.

Գրասենյակը, Օպերատորի տարածքը աշխատանքային օրվա ավարտին և գրասենյակային տարածքում աշխատողների բացակայության դեպքում պետք է փակվեն, պատուհանները փակվեն, ահազանգը պետք է միացված լինի (առկայության դեպքում):

9.21.

Ցանցային սարքավորումները և սերվերները պետք է տեղակայվեն չարտոնված անձանց համար անհասանելի վայրերում (հատուկ սենյակներում, պահարաններում, տուփերում):

9.22.

Տարածքների մաքրումը և ISPD տեխնիկական սարքավորումների սպասարկումը պետք է իրականացվեն այդ տարածքների և տեխնիկական միջոցների համար պատասխանատու անձանց հսկողության ներքո՝ համապատասխան միջոցների, որոնք բացառում են չարտոնված մուտքը դեպի PD, տեղեկատվության կրիչներ, ծրագրակազմ և սարքաշար՝ ISPD տեղեկատվության մշակման, փոխանցման և պաշտպանության համար: .

9.23.

ISPDn-ի ադմինիստրատորների պարտականությունները ներառում են ISPDn օգտատերերի հաշիվների կառավարում, ISPDn-ի կանոնավոր գործունեության պահպանում, ապահովում կրկնօրինակումտվյալները, ինչպես նաև սարքավորումների տեղադրումն ու կազմաձևումը և ծրագրային ապահովում ISPDn-ը կապված չէ ISPDn-ում PD-ի անվտանգության ապահովման հետ: Նաև ISPD-ի ադմինիստրատորների պարտականությունները ներառում են ISPD-ում PD-ի մշակման և անվտանգության ապահովման ընթացակարգի համապատասխանության ապահովումը որոշակի ISPD-ի վրա դրված PD-ի գաղտնիության, ամբողջականության և մատչելիության պահանջներին, և ընդհանուր պահանջներդաշնային օրենսդրությամբ սահմանված անձնական տվյալների անվտանգության մասին:

9.24.

ISPD-ի ադմինիստրատորների պարտականությունները ներառում են նաև սարքավորումների տեղադրում, կազմաձևում և կառավարում ծրագրային ապահովում ISPD տեղեկատվության պաշտպանություն, PD-ի մեքենայական լրատվամիջոցների հաշվառում և պահպանում, անվտանգության գրանցամատյանների պարբերական աուդիտ և ISPD-ի անվտանգության վերլուծություն, ինչպես նաև մասնակցություն PD-ի մշակման և անվտանգության ապահովման սահմանված կարգի խախտումների պաշտոնական հետաքննությանը:

9.25.

Լիազորությունների բաշխումն ապահովելու, փոխադարձ վերահսկողություն իրականացնելու և մեկ անձի մեջ անձնական տվյալների անվտանգության համար կարևոր լիազորությունների կենտրոնացումը կանխելու համար խորհուրդ չի տրվում համատեղել ISPD օգտագործողի և ISPD ադմինիստրատորի դերերը՝ ի դեմս մեկ աշխատակցի:

9.26.

Որակավորման պահանջները և ISPD-ի ադմինիստրատորների իրավունքների ու պարտականությունների մանրամասն ցանկը սահմանված են աշխատանքի համապատասխան նկարագրություններում, որոնց պետք է ծանոթ լինեն այդ պաշտոններում նշանակված աշխատակիցները ստորագրությունից հետո:

9.27.

Օպերատորում PD-ի մշակման գործընթացի ներքին հսկողության կազմակերպումն իրականացվում է PD անվտանգության փաստացի վիճակն ուսումնասիրելու և գնահատելու, դրանց մշակման սահմանված կարգի խախտումներին ժամանակին արձագանքելու, ինչպես նաև այս ընթացակարգը բարելավելու նպատակով: և ապահովել դրա համապատասխանությունը:

9.28.

Անձնական տվյալների մշակման և անվտանգության նկատմամբ ներքին վերահսկողության իրականացման միջոցառումներն ուղղված են հետևյալ խնդիրների լուծմանը.

9.28.1.

Օպերատորի աշխատակիցների կողմից սույն Կանոնակարգերի և անձնական տվյալների շրջանակը կարգավորող կանոնակարգերի պահանջներին համապատասխանության ապահովում:

9.28.2.

Անձնական տվյալների մշակման մեջ ներգրավված անձնակազմի իրավասության գնահատում:

9.28.3.

ISPD տեխնիկական միջոցների և PD պաշտպանության միջոցների գործունակության և արդյունավետության ապահովում, դրանց համապատասխանությունը լիազորված գործադիր մարմինների պահանջներին PD անվտանգության հարցերի վերաբերյալ.

9.28.4.

Անձնական տվյալների մշակման համար սահմանված կարգի խախտումների հայտնաբերում և նման խախտումների բացասական հետևանքների ժամանակին կանխարգելում.

9.28.5.

Ուղղիչ միջոցառումների ձեռնարկում, որոնք ուղղված են հայտնաբերված խախտումների վերացմանը, ինչպես PD-ի մշակման ընթացակարգում, այնպես էլ ISPD-ի տեխնիկական միջոցների շահագործման ընթացքում:

9.28.7.

Խախտումների վերացման վերաբերյալ առաջարկությունների և հանձնարարականների կատարման նկատմամբ ներքին վերահսկողության իրականացում.

9.29.

Վերահսկիչ գործողությունների արդյունքները փաստաթղթավորված են ակտերով և հիմք են հանդիսանում անձնական տվյալների մշակման և անվտանգության ապահովման ընթացակարգի բարելավման, տեղեկատվական համակարգերի տեխնիկական միջոցների և անձնական տվյալների պաշտպանության միջոցների արդիականացման, վերապատրաստման և բարելավման վերաբերյալ առաջարկությունների մշակման համար: անձնական տվյալների մշակման մեջ ներգրավված անձնակազմի իրավասությունը.

Օպերատորի աշխատողների անձնական տվյալների կառավարման առանձնահատկությունները

10.1.

Այս բաժինը սահմանում է Օպերատորի և աշխատակիցների լրացուցիչ իրավունքներն ու պարտականությունները Օպերատորի աշխատակիցների անձնական տվյալները մշակելիս:

10.2.

Աշխատակիցների անձնական տվյալները աշխատանքային հարաբերությունների հետ կապված և կոնկրետ աշխատողի հետ կապված Օպերատորի կողմից պահանջվող տեղեկատվությունն է:

10.3.

Աշխատողի անձնական տվյալների մշակումը կարող է իրականացվել բացառապես օրենքների և այլ կանոնակարգերի համապատասխանությունն ապահովելու, աշխատողներին աշխատանքի տեղավորման, վերապատրաստման և առաջխաղացման հարցում օգնելու, աշխատողների անձնական անվտանգության ապահովման, կատարված աշխատանքի քանակի և որակի մոնիտորինգի և կատարվող աշխատանքների որակի և որակի վերահսկման նպատակով: գույքի անվտանգությունը.

10.4.

Օպերատորն իրավունք չունի ստանալ և մշակել աշխատողի անձնական տվյալները հասարակական միավորումներին նրա անդամակցության կամ արհմիության գործունեության մասին, բացառությամբ դաշնային օրենքներով նախատեսված դեպքերի.

10.5.

Աշխատակցի շահերին ազդող որոշումներ կայացնելիս Օպերատորն իրավունք չունի հիմնվել աշխատողի անձնական տվյալների վրա, որոնք ստացվել են բացառապես դրանց ավտոմատացված մշակման կամ էլեկտրոնային ստացման արդյունքում.

10.6.

Աշխատակիցները չպետք է հրաժարվեն գաղտնիքները պահպանելու և պաշտպանելու իրենց իրավունքներից.

10.7.

Օպերատորը պարտավորվում է չհրապարակել աշխատողի անձնական տվյալները առևտրային նպատակներով՝ առանց նրա գրավոր համաձայնության.

10.8.

Օպերատորը պարտավորվում է զգուշացնել Օպերատորի աշխատակիցներին և աշխատողի անձնական տվյալները ստացող երրորդ անձանց (նրա համաձայնությամբ), որ այդ տվյալները կարող են օգտագործվել միայն այն նպատակների համար, որոնց համար դրանք հաղորդվել են, և այդ անձանցից պահանջում է հաստատել, որ այս կանոնը պահպանվում է: Աշխատողի անձնական տվյալներ ստացող անձինք պարտավոր են պահպանել գաղտնիության (գաղտնիության) ռեժիմ: Գաղտնիության ռեժիմն ապահովվում է անձի հետ պայմանագիր կնքելու միջոցով (սույն կանոնակարգի հավելված): Այս դրույթը չի տարածվում Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված կարգով աշխատողների անձնական տվյալների փոխանակման վրա.

10.9.

Աշխատակիցների անձնական տվյալների հասանելիությունն իրականացվում է Օպերատորի կողմից հաստատված հրամանների և կանոնակարգերի հիման վրա:

10.10.

Օպերատորը պարտավորվում է չպահանջել տեղեկություններ աշխատողի առողջական վիճակի մասին, բացառությամբ այն տեղեկատվության, որը վերաբերում է աշխատողի աշխատանքային գործառույթը կատարելու ունակությանը.

10.11.

Օպերատորը պարտավորվում է աշխատողի PD-ն փոխանցել աշխատողների ներկայացուցիչներին Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված կարգով և սահմանափակել այս տեղեկատվությունը միայն այն աշխատողի PD-ով, որոնք անհրաժեշտ են նշված ներկայացուցիչների համար իրենց գործառույթները կատարելու համար:

10.12.

Աշխատակիցն իրավունք ունի որոշել իր ներկայացուցիչներին՝ իր անձնական տվյալները պաշտպանելու համար:

Պատասխանատվություն սույն դրույթի խախտման համար

11.1.

Օպերատորի ղեկավարությունը պատասխանատվություն է կրում անձնական տվյալների գաղտնիությունը չապահովելու և անձնական տվյալների սուբյեկտների իրավունքներին ու ազատություններին իրենց անձնական տվյալների, ներառյալ գաղտնիության, անձնական և ընտանեկան գաղտնիքների իրավունքներին չհամապատասխանելու համար:

11.4.

PD-ի մշակման և անվտանգության ապահովման սահմանված կարգի խախտման, PD-ի չարտոնված մուտքի, PD-ի բացահայտման և Օպերատորին, նրա աշխատակիցներին, հաճախորդներին և գործընկերներին նյութական կամ այլ վնաս պատճառելու դեպքում, հանցագործները կրում են քաղաքացիական, քրեական, վարչական. Ռուսաստանի Դաշնության օրենսդրությամբ նախատեսված կարգապահական և այլ պատասխանատվություն:

Իրականացվում է օրենքների և այլ կանոնակարգերի պահպանման հիման վրա:

Ի՞նչ է անձնական տվյալների մշակումը: Այս գործընթացը ներառում է հետևյալ քայլերը.

Անձնական տվյալների հետ աշխատելու իրավական կարգավորումը ներառում է դրանց հետ աշխատելու բոլոր գործընթացներն ու փուլերը։

Թիրախ

Ինչու՞ է անհրաժեշտ անձնական տվյալների մշակումը: Աշխատողի անձնական տվյալների մշակումն իրականացվում է ձեռնարկությունում կամ կազմակերպությունում՝ դրան հեշտացնելու նպատակով:

Անձնական տվյալների մշակման հիմնական նպատակները.

• աշխատանք գտնելու մեջ;
• ուսումնական հաստատությունում կամ վերապատրաստման, խորացված ուսուցման համար.
• աշխատանքի պաշտպանության նպատակով.
• առաջխաղացման և կարիերայի հնարավորությունների նկատմամբ վերահսկողության համար.
• վերահսկել կատարված աշխատանքների քանակն ու որակը.

Օրենսդրությունը նախատեսում է աշխատողի անձնական տվյալների կուտակումն ու փոխանցումը բացառապես նրա զարգացման և նրա կարողությունների ու փորձի պատշաճ օգտագործման նպատակով: , ներառում են բազմաֆունկցիոնալ նպատակներ.

Աշխատակիցների անձնական տվյալների մշակման նպատակները ներառում են անձնական տվյալների օգտագործումը և մշակումը դրանց սինթեզի և փոխհարաբերությունների միջոցով, որոնք որոշում են աշխատողի կարողությունների համապատասխանությունը արտադրական գործընթացի կազմակերպման պայմաններում:

Անձնական տվյալների մշակման համար սահմանված և նշված նպատակները չեն կարող փոփոխվել առանց աշխատողին ծանուցելու:

Ո՞ւմ կողմից է իրականացվել:

Անձնական տվյալներ նշանակում են տեղեկատվություն, որը պարունակում է հիմնական տեղեկություններ պետական ​​և այլ ծառայությունների ներկայացուցիչների որոշակի շրջանակի համար հետաքրքրող անձի մասին:

Մասնավորապես, արտադրության մեջ (կազմակերպությունում) անձնական տվյալները հետաքրքրում են գործատուին, ով ղեկավարում է արտադրությունում աշխատանքի կազմակերպումը` հիմնվելով իր աշխատողների մասին տեղեկատվության վրա:

Գործատուն իրավունք ունի պահանջելու ցանկացած անձնական տվյալ, որը հասանելի է այստեղ հաշիվներաշխատողի մասին. Բացի նրանից, անձնական տվյալների հասանելիություն ունի անձանց սահմանափակ շրջանակ, որոնք իրականացնում են գործառնական աշխատանք. Որպես կանոն, դրանք քարտուղարության և կադրերի բաժնի աշխատակիցներն են։

Անձնական տվյալներով տեղեկատվական գործունեություն իրականացնող օպերատորը հանձնարարություններ է ստանում նախքան նշանակված աշխատանքը սկսելը: Նա ծանոթանում է անձնական տվյալների մեջ պարունակվող տեղեկատվության հրապարակումն արգելող գործող կանոններին և սկզբունքներին։

Թվարկված աշխատանքների տեսակների իրականացումը կարող է հետապնդել բացառապես այն նպատակները, որոնք պատճառ են հանդիսացել տեղեկատվության հավաքագրման համար։ Անձնական տվյալների չարաշահումը կամ դրանց բացահայտումը համարվում է կոպիտ խախտում, որի համար պատասխանատվություն է կրում:

Խախտումներ

Ինչպես արդեն նշվեց, անձնական տվյալների մշակման խախտումները համարվում են.

Օպերատորի աշխատանքը անձնական տվյալների հետ ենթակա է խիստ հսկողության լիազորված ծառայությունների կողմից, և օպերատորը պատասխանատվություն է կրում թերությունների, չմտածված կամ կանխամտածված խախտումների համար:

Անձնական տվյալների մշակման ընթացքում բոլոր չարտոնված գործողությունները կարող են հանգեցնել պատիժի՝ կարգապահական, վարչական և որոշ դեպքերում քրեական պատասխանատվության: