შრომის კანონმდებლობით პერსონალური მონაცემების დამუშავების მიზანი. პერსონალური მონაცემების დამუშავების მიზნების და მათთან მუშაობის მიზნების განსაზღვრა

ეს ინფორმაცია არის ნებისმიერი ქმედება ან ოპერაცია სუბიექტის პერსონალურ მონაცემებთან: შეგროვება, ჩაწერა, სისტემატიზაცია, დაგროვება, შენახვა, დაზუსტება, მოპოვება, გამოყენება, გადაცემა, დეპერსონალიზაცია, დაბლოკვა, წაშლა, განადგურება.

რატომ შეაგროვეთ ინფორმაცია სუბიექტის შესახებ და თანხმობა მის ანალიზზე?

კლიენტისთვის/პაციენტისთვის

ინფორმაცია მოქალაქის ჯანმრთელობის მდგომარეობის შესახებ პერსონალური მონაცემების სპეციალურ კატეგორიას მიეკუთვნება.მე-2 ნაწილის მე-4 მუხლის მიხედვით. 10 ფედერალური კანონი No152, ასეთი ინფორმაციის დამუშავება ნებადართულია სუბიექტის თანხმობის გარეშე, იმ პირობით, რომ იგი ხორციელდება მიზნებისათვის:

• დიაგნოზის დადგენა;
• დაავადების პრევენცია;
• სამედიცინო და სამედიცინო-სოციალური მომსახურების გაწევა.

ეს წესი მოქმედებს იმ სიტუაციებისთვის, როდესაც დამუშავებას ახორციელებს პროფესიონალი ექიმი, რომელიც ვალდებულია შეინარჩუნოს სამედიცინო კონფიდენციალობა რუსეთის ფედერაციის კანონმდებლობის შესაბამისად.

გამონაკლისია ის სიტუაციები, როდესაც შეუძლებელია თანხმობის მიღება,მაგრამ აუცილებელია პაციენტის სიცოცხლის ან ჯანმრთელობის დასაცავად.

თუ ადამიანი სარგებლობს რაიმე სერვისით - დებს ხელშეკრულებას, მიმართავს სესხს - ანუ არის კლიენტი, მის შესახებ პერსონალური ინფორმაციაც შეიძლება დამუშავდეს ფედერალური კანონის No152 შესაბამისად.

კლიენტის მონაცემები შეიძლება გამოყენებულ იქნას:

1. საკონსულტაციო, საინფორმაციო და შუამავლების მომსახურება.
2. კლიენტთან ხელშეკრულების დადება და გაფორმება.
3. HR და ბუღალტრული მომსახურების გაწევა.
4. სხვა ოპერაციები, რომლებიც არ არის აკრძალული რუსეთის ფედერაციის კანონმდებლობით.

ორგანიზაციის თანამშრომლისთვის

დამსაქმებელს აქვს უფლება თავის თანამშრომლებზე, ეს გათვალისწინებულია ხელოვნებაში. 22 ფედერალური კანონი No152. ორგანიზაციაში პერსონალური მონაცემების დამუშავების მიზნები:

• მოქალაქეებთან სამოქალაქო ხელშეკრულებების რეგისტრაცია, რომლებიც გათვალისწინებულია რუსეთის ფედერაციის კანონმდებლობით და საწარმოს წესდებით.
• საკადრო ჩანაწერები, კანონებთან და დებულებებთან შესაბამისობა, შრომითი და სამოქალაქო სამართლის ხელშეკრულებებით ნაკისრი ვალდებულებების რეგისტრაცია.
• დახმარება დასაქმების პოვნაში, განათლების მიღებაში ან დაწინაურებაში, რეგისტრაციაში და შეღავათებით სარგებლობაში.
• თანამშრომლის პირადი უსაფრთხოებისა და ქონების უსაფრთხოების უზრუნველყოფა.
• საპენსიო დაზღვევაში შენატანების გაანგარიშებისას საგადასახადო და საპენსიო კანონმდებლობის მოთხოვნების დაცვა.
• სტატისტიკის ფორმირება შრომის, საგადასახადო კოდექსებისა და ფედერალური კანონების შესაბამისად.
• თანამშრომლის მიერ შესრულებული სამუშაოს მონიტორინგი.

(რუსეთის ფედერაციის შრომის კოდექსის 86-ე მუხლი, 2001 წლის 30 დეკემბრის No197-FZ). პერსონალური ინფორმაცია დასაქმებულის შესახებ, რომელიც კლასიფიცირებულია როგორც „სპეციალური“, არ ექვემდებარება დამსაქმებლის მიერ დამუშავებას.

უნდა დადგინდეს პერსონალური მონაცემების დამუშავებაზე თანხმობის მოქმედების ვადა, ეს შეიძლება იყოს კონკრეტული თარიღი ან მოვლენა, მაგალითად, თანამშრომლის მიერ თანამდებობიდან გათავისუფლება ან თანხმობის გაუქმება.

მაგალითები

საბანკო სექტორი

ბანკი "ფინანსური" კლიენტის პერსონალური მონაცემების დამუშავების მიზანია საბანკო და სხვა ოპერაციების განხორციელება,მათ შორის:

1. საბანკო ანგარიშების გახსნა და შენარჩუნება.
2. თანხის გადარიცხვა საბანკო ანგარიშებზე.
3. ფულადი სახსრების გადარიცხვა ფიზიკური - ფიზიკური და იურიდიული პირებისგან საბანკო ანგარიშის გახსნის გარეშე.
4. უცხოური ვალუტის ყიდვა-გაყიდვა.
5. საკონსულტაციო და საინფორმაციო მომსახურების გაწევა, მათ შორის ელექტრონული ფოსტის მისამართის საშუალებით.

სამედიცინო ორგანიზაცია

სამედიცინო ორგანიზაცია "ჯანმრთელობა". დამუშავების მიზანი:

• სამედიცინო მომსახურების ორგანიზაცია.
• შეღავათიანი რეცეპტების გაცემა.
• გადასახადების გადახდა სავალდებულო სამედიცინო დაზღვევისა და ნებაყოფლობითი სამედიცინო დაზღვევის სისტემაში.
• გამოიყენეთ სტატისტიკისა და კვლევისთვის.
• SMS შეტყობინებების მეშვეობით ტესტირების შედეგების, მიმდინარე აქციებისა და სპეციალისტების სამუშაო განრიგის შესახებ.

დასკვნა

კლიენტთან ან პაციენტთან ყველაფერი ისეთი მარტივი არ არის, როგორც ერთი შეხედვით ჩანს.ისევე, როგორც, თანხმობისა და გაფრთხილების გარეშე, ისინი არ შეიძლება გადაეცეს მესამე პირებს ან გამოიყენონ იმ მიზნებისთვის, რომლებსაც სუბიექტი არ ეთანხმება. თუ ადამიანს ემუქრება ის ფაქტი, რომ მისი პერსონალური მონაცემები გაჟონა, მას ყოველთვის შეუძლია მიმართოს როსკომნადზორს ან სასამართლოს.

ვერ იპოვეთ პასუხი თქვენს კითხვაზე? გაარკვიე როგორ მოვაგვაროთ ზუსტად თქვენი პრობლემა - დარეკეთ ახლავე:

2017 წლის 1 ივლისს ძალაში შევიდა ფედერალური კანონი No13-FZ 02/07/2017, რომელიც ცვლის ხელოვნებას. ადმინისტრაციულ სამართალდარღვევათა კოდექსის 13.11 და ითვალისწინებს უკანონო ქმედებებზე ადმინისტრაციული პასუხისმგებლობის დაკისრების საფუძვლების ნუსხის გაფართოებას და ჯარიმების მნიშვნელოვან ზრდას.

ერთ-ერთ სავალდებულო დოკუმენტს, რომელიც უნდა მოამზადოს პერსონალური მონაცემების ოპერატორმა 2006 წლის 27 ივლისის №152-FZ ფედერალური კანონის მოთხოვნების შესაბამისად, ეწოდება პერსონალური მონაცემების დამუშავების პოლიტიკას, რომელშიც განმარტავენ, თუ როგორ მუშაობს კომპანია თანამშრომლების, კლიენტების და სხვა პირების მონაცემებით. ეს ფაილი თავისუფლად არის ხელმისაწვდომი თითქმის ყველა საიტზე, რომელსაც აქვს პერსონალური მონაცემების შეგროვების ნებისმიერი ფორმა.

როგორ სწორად შევადგინოთ პერსონალური მონაცემების დამუშავების პოლიტიკა, რა სექციები უნდა იყოს შეტანილი? ამ საკითხებზე განმარტებებს Roskomnadzor ავრცელებს.

პერსონალური მონაცემების დამუშავების პოლიტიკის სტრუქტურა

• ზოგადი დებულებები
• პერსონალური მონაცემების შეგროვების მიზნები
• პერსონალური მონაცემების დამუშავების სამართლებრივი საფუძველი
• დამუშავებული პერსონალური მონაცემების მოცულობა და კატეგორიები, პერსონალური მონაცემების სუბიექტების კატეგორიები
• პერსონალური მონაცემების დამუშავების პროცედურა და პირობები
• პერსონალური მონაცემების განახლება, შესწორება, წაშლა და განადგურება, სუბიექტების თხოვნაზე პასუხები პერსონალურ მონაცემებზე წვდომის შესახებ

1. ზოგადი მიზნები

ამ განყოფილებაში თქვენ რეალურად პასუხობთ კითხვას - რისთვის არის პერსონალური მონაცემთა დამუშავების პოლიტიკა? იგი ასევე განმარტავს დოკუმენტში გამოყენებულ ძირითად ცნებებს, ასევე ოპერატორის უფლებებსა და მოვალეობებს და პერსონალური მონაცემების სუბიექტს.

2. პერსონალური მონაცემების შეგროვების მიზნები

ხელოვნება. 2006 წლის 27 ივლისის No152-FZ ფედერალური კანონის 5 მოითხოვს მონაცემთა შეგროვების კონკრეტული, ლეგიტიმური მიზნების განსაზღვრას. შესაბამისად, შეუძლებელია პერსონალური მონაცემების დამუშავება, რომელიც არ შეესაბამება ამ მიზნებს.

Roskomnadzor მიუთითებს, რომ პერსონალური მონაცემების დამუშავების მიზნები შეიძლება შეიცავდეს:

• ოპერატორის საქმიანობის მარეგულირებელი სამართლებრივი აქტების ანალიზიდან;
• ოპერატორის მიერ რეალურად განხორციელებული საქმიანობის მიზნებიდან;
• ოპერატორის შემადგენელი დოკუმენტებით გათვალისწინებული საქმიანობიდან;
• ოპერატორის კონკრეტული ბიზნეს პროცესებიდან პერსონალური მონაცემების კონკრეტულ საინფორმაციო სისტემებში (ოპერატორის სტრუქტურული განყოფილებების მიხედვით და მათი პროცედურების მიხედვით პერსონალური მონაცემების სუბიექტების გარკვეულ კატეგორიებთან მიმართებაში).

3. პერსონალური მონაცემების დამუშავების სამართლებრივი საფუძველი

2006 წლის 27 ივლისის ფედერალური კანონი No152-FZ არ არის პერსონალური მონაცემების დამუშავების სამართლებრივი საფუძველი. ამ როლს ასრულებს ის სამართლებრივი აქტები, რომელთა მიხედვითაც ოპერატორი ამუშავებს მონაცემებს.

ამრიგად, მონაცემთა დამუშავების პოლიტიკაში შეიძლება დაზუსტდეს შემდეგი სამართლებრივი საფუძვლები: მათ საფუძველზე მიღებული ფედერალური კანონები და რეგულაციები, რომლებიც არეგულირებს ოპერატორის საქმიანობასთან დაკავშირებულ ურთიერთობებს; ოპერატორის ნორმატიული დოკუმენტები; ოპერატორსა და პერსონალური მონაცემების სუბიექტს შორის დადებული ხელშეკრულებები; თანხმობა პერსონალური მონაცემების დამუშავებაზე (კანონით პირდაპირ არ არის გათვალისწინებული შემთხვევები). რუსეთის ფედერაცია, მაგრამ შეესაბამება ოპერატორის უფლებამოსილებას).

4. დამუშავებული პერსონალური მონაცემების მოცულობა და კატეგორიები, პერსონალური მონაცემთა სუბიექტების კატეგორიები

მნიშვნელოვანია, რომ დამუშავებული პერსონალური მონაცემების მოცულობა არ განსხვავდებოდეს დამუშავების გაცხადებული მიზნებისგან.

პერსონალური მონაცემების სუბიექტების კატეგორიები შეიძლება შეიცავდეს: თანამშრომლები - როგორც მოქმედი, ისე ყოფილი, ვაკანსიების კანდიდატები, თანამშრომლების ნათესავები, კლიენტები და კონტრაგენტები (ფიზიკები), კლიენტებისა და კონტრაგენტების წარმომადგენლები ან თანამშრომლები.

Roskomnadzor ყურადღებას ამახვილებს იმ ფაქტზე, რომ სუბიექტების თითოეული კატეგორიისთვის და კონკრეტულ მიზნებთან დაკავშირებით, უნდა იყოს მითითებული ყველა დამუშავებული პერსონალური მონაცემი. პერსონალური მონაცემების სპეციალური კატეგორიის და ბიომეტრიული პერსონალური მონაცემების დამუშავების ყველა შემთხვევა (ასეთის არსებობის შემთხვევაში) აღწერილია ცალ-ცალკე.

5. პერსონალური მონაცემების დამუშავების წესი და პირობები

რა არის ნათქვამი ამ ნაწილში:

• პერსონალური მონაცემებით შესრულებული ქმედებების ჩამონათვალი;
• პერსონალური მონაცემების დამუშავების მეთოდები;
• პერსონალური მონაცემების დამუშავების პირობები.

თუ პერსონალური მონაცემების დამუშავების მიზნების მისაღწევად, ოპერატორი ურთიერთობს მესამე მხარეებთან, მაშინ მას სჭირდება:

• განმარტეთ პერსონალური მონაცემების მესამე პირებისთვის გადაცემის პირობები (მათ შორის მონაცემთა ტრანსსასაზღვრო გადაცემა);
• მიუთითეთ მესამე მხარის სახელი და ადგილმდებარეობა;
• მიუთითეთ მონაცემთა გადაცემის მიზანი და მისი მოცულობა;
• ჩამოთვალეთ დამუშავების ქმედებები, მეთოდები და დამუშავების სხვა პირობები, მათ შორის დამუშავებული პერსონალური მონაცემების დაცვის მოთხოვნები.

ოპერატორს უფლება აქვს კანონით გათვალისწინებული საფუძვლებით გადასცეს პერსონალური მონაცემები მოკვლევისა და გამოძიების ორგანოებს, აგრეთვე სხვა უფლებამოსილ ორგანოებს.

პერსონალური მონაცემების დამუშავების პოლიტიკა უნდა მოიცავდეს ინფორმაციას პერსონალური მონაცემების კონფიდენციალურობის მოთხოვნებთან შესაბამისობის შესახებ (ისინი დასახელებულია 2006 წლის 27 ივლისის №152-FZ ფედერალური კანონის მე-7 მუხლში) და ინფორმაცია ზომების მიღების შესახებ (მუხლის მე-2 ნაწილი). მე-19 ხელოვნების 18.1 ნაწილი).

ამასთან, ოპერატორმა უნდა მიუთითოს პერსონალური მონაცემების დამუშავების შეწყვეტის პირობა. ეს შეიძლება იყოს დამუშავების მიზნების მიღწევა, დამუშავებაზე თანხმობის ვადის გასვლა, პერსონალური მონაცემების სუბიექტის დამუშავებაზე თანხმობის გაუქმება, მონაცემთა უკანონო დამუშავების იდენტიფიცირება.

განსაკუთრებული ყურადღება უნდა მიექცეს ისეთ საკითხს, როგორიცაა პერსონალური მონაცემების შენახვა. პირველ რიგში, უნდა აღინიშნოს ვადები. მეორეც, გამოიყენება მონაცემთა ბაზები, რომლებიც მდებარეობს რუსეთის ფედერაციის ტერიტორიაზე. მესამე, მხედველობაში მიიღება ის ფაქტი, რომ შენახვა უნდა განხორციელდეს ისეთი ფორმით, რომელიც საშუალებას მისცემს პერსონალური მონაცემების სუბიექტის იდენტიფიცირებას არა უმეტეს, ვიდრე ეს მოითხოვს დამუშავების მიზნებს. მეოთხე, აუცილებელია აღინიშნოს შენახვის სხვა პირობები, მათ შორის მონაცემების დამუშავებისას ავტომატიზაციის ხელსაწყოების გამოყენების გარეშე.

6. პერსონალური მონაცემების განახლება, შესწორება, წაშლა და განადგურება, პასუხები სუბიექტების თხოვნებზე პერსონალურ მონაცემებზე წვდომის შესახებ.

ხელოვნების მიხედვით. 21 No 152-FZ, პერსონალური მონაცემები უნდა განახლდეს ოპერატორის მიერ, თუ დადასტურებულია პერსონალური მონაცემების უზუსტობის ფაქტი. იგივე ეხება დამუშავების უკანონობის დადასტურებას.

პერსონალური მონაცემები ექვემდებარება განადგურებას, როდესაც მიიღწევა მათი დამუშავების მიზნები და იმ შემთხვევაში, თუ პერსონალური მონაცემების სუბიექტი უხსნის თანხმობას მათ დამუშავებაზე, თუ: სხვა რამ არ არის გათვალისწინებული ხელშეკრულებით, რომლის მხარე, ბენეფიციარია ან არის პერსონალური მონაცემების სუბიექტი. გარანტი; სხვაგვარად არ არის გათვალისწინებული სხვა ხელშეკრულებით ოპერატორსა და პერსონალური მონაცემების სუბიექტს შორის. ოპერატორს არ აქვს უფლება დაამუშავოს პერსონალური მონაცემების სუბიექტის თანხმობის გარეშე 2006 წლის 27 ივლისის ფედერალური კანონით No152-FZ ან სხვა ფედერალური კანონებით გათვალისწინებული საფუძვლებით.

ხელოვნებაზე დაყრდნობით. 20 ოპერატორი ვალდებულია პერსონალური მონაცემების სუბიექტს მოთხოვნისთანავე აცნობოს მის მიერ განხორციელებული პერსონალური მონაცემების დამუშავების შესახებ.

Roskomnadzor რეკომენდაციას უწევს პერსონალური მონაცემების დამუშავების პოლიტიკის რეგულაციების ჩართვას პერსონალური მონაცემების სუბიექტების, მათი წარმომადგენლებისა და უფლებამოსილი ორგანოების მოთხოვნებზე და აპელაციებზე რეაგირების შესახებ მონაცემების უზუსტობასთან, მათი დამუშავების უკანონობასთან, თანხმობის გაუქმებასთან და მათ მონაცემებზე წვდომასთან დაკავშირებით. კარგი იდეა იქნებოდა, რომ დაემატოს მოთხოვნების შესაბამისი ფორმები და მიმართვები პოლიტიკაში.

პერსონალური მონაცემების დამუშავების პოლიტიკის განთავსება ოფისში და ვებგვერდზე

ნებისმიერ პირს, რომლის მონაცემებსაც კომპანია ამუშავებს, უფლება აქვს გაეცნოს პერსონალური მონაცემების დამუშავების პოლიტიკას. ამიტომ, ის უნდა განთავსდეს საჯაროდ ხელმისაწვდომ ადგილას. მაგალითად, ამისათვის გამოიყენეთ საინფორმაციო სტენდი.

თუ კომპანია აგროვებს პერსონალურ მონაცემებს ინტერნეტის საშუალებით, ის ვალდებულია განათავსოს პოლისი ვებგვერდზე. საიტის ვიზიტორს შეუძლია მისი ნახვა ბმულზე დაწკაპუნებით.

იმისათვის, რომ გაეცნოთ ბიზნესზე გავლენას ყველაზე მნიშვნელოვან ცვლილებებს, შემოუერთდით ჩვენს არხს

კომპანიას არ შეუძლია თანამშრომლების, კლიენტებისა და კონტრაქტორებისგან პირადი ინფორმაციის მიღების გარეშე. ჩვენ გვჭირდება სახელები, მისამართები და სხვა ინფორმაცია. ამასთან, კომპანიას აქვს უფლება დაამუშავოს პერსონალური მონაცემები მხოლოდ კონკრეტული მიზნებისთვის. მონაცემების ნებისმიერი სხვა გამოყენება არის დარღვევა, რომელიც გამოიწვევს ადმინისტრაციულ მოქმედებას.

მიზნები, რისთვისაც მოითხოვება ინფორმაცია, უნდა შეესაბამებოდეს კანონს და კომპანიის საჭიროებებს.

ბიზნესის წარმოებისას კომპანია ეხება ინფორმაციას, რომელიც დაცულია. კონფიდენციალური ინფორმაცია მოიცავს ინფორმაციას ტექნოლოგიების, პროექტების, განვითარების, ტრანზაქციების სპეციფიკის შესახებ და ა.შ. კანონი ასევე მოითხოვს ინფორმაციის დაცვას იმ ადამიანების შესახებ, რომლებიც მუშაობენ კომპანიაში, არიან მისი კლიენტები ან წარმოადგენენ კონტრაგენტებს. „პერსონალური მონაცემების შესახებ“ მოქმედებს პირადი ცხოვრების დაცვის კონსტიტუციური პრინციპის შესაბამისად (152 კანონის მე-2 მუხლი). კანონის მოთხოვნები ვრცელდება ნებისმიერ ორგანიზაციაზე, რომელიც იღებს მონაცემებს მათი სუბიექტებისგან (152 კანონის 1-ლი მუხლი).

კომპანიას, რომელიც იწყებს პერსონალური მონაცემების დამუშავებას, უფლება აქვს მოითხოვოს იგი მხოლოდ გარკვეული მიზნებისთვის (152 კანონის მე-2 ნაწილი, მე-5 მუხლი). გარდა ამისა, მონაცემთა მოცულობა დამოკიდებულია მიზნებზე. თქვენ არ შეგიძლიათ მოითხოვოთ ინფორმაცია, რომელიც კომპანიას არ სჭირდება (152 კანონის მე-5 მუხლის მე-4 და მე-5 ნაწილები). მაგალითად, ონლაინ მაღაზიას არ აქვს უფლება მოითხოვოს მყიდველისგან პასპორტის მონაცემები ან მოითხოვოს საფოსტო მისამართის მითითება, თუ კლიენტი საქონელს თავად აიღებს.

კომპანია თავად განსაზღვრავს კლიენტებისა და თანამშრომლების პერსონალური მონაცემების დამუშავების მიზნებს

კონკრეტულად რისთვის იყო საჭირო ინფორმაცია, ამას კომპანია ადგენს (152 კანონის მე-3 მუხლის მე-2 პუნქტი). როგორც წესი, ორგანიზაცია ითხოვს კლიენტების, კონტრაქტორების და თანამშრომლების პერსონალურ მონაცემებს შემდეგი მიზნებისთვის:

1. ხელშეკრულებების გაფორმება. ეს შეიძლება იყოს კონტრაქტები კომპანიის სერვისების ან საქონლის მომხმარებლებთან, სხვა ტიპის კლიენტებთან, ბიზნეს პარტნიორებთან, შრომითი ხელშეკრულებები და ა.შ. ნებისმიერი კონტრაქტისთვის, რომლის ხელმოწერასაც კომპანია აპირებს, საჭირო იქნება პერსონალური მონაცემები - თანამშრომელი, რომელიც მოქმედებს მისი ინტერესების წარმომადგენელი კონტრაგენტი ან თავად კონტრაგენტი, თუ ეს არის კერძო პირი. მონაცემების ჩართვა საჭიროა იმისათვის, რომ კომპანიამ შეძლოს ნაკისრი ვალდებულებების შესრულება.
2. პერსონალის შესახებ ინფორმაციის სისტემატიზაცია, პერსონალის ჩანაწერების წარმოება და საოფისე სამუშაოები. დასაქმებულთა მონაცემები აუცილებელია არა მხოლოდ შრომითი ხელშეკრულებების დასადებად, არამედ შრომითი ურთიერთობის ფარგლებში ყველა სხვა ტრანზაქციისთვის.
3. ბიუჯეტში გადასახადების გამოქვითვის, სადაზღვევო შენატანების და ა.შ. კანონის მოთხოვნების დაცვა. კომპანია თანამშრომლებს უკავებს პირადი საშემოსავლო გადასახადის შენატანებს და ამ თანხებს ურიცხავს სახელმწიფოს, საპენსიო ფონდს და სხვა ორგანიზაციებს (კანონის 22-ე მუხლი). 152, რუსეთის ფედერაციის შრომის კოდექსის 86-ე მუხლი).
4. სტატისტიკის ფორმირება. ამ მიზნით მონაცემები უნდა იყოს ანონიმური (152 კანონის მე-9 პუნქტი 1, მე-6 მუხლი).

სტუმარი, შეხვდი - !

კომპანია ვალდებულია გააფრთხილოს პერსონალური მონაცემების სუბიექტი დამუშავების მიზნების შესახებ

კომპანია ვალდებულია აცნობოს თანამშრომელს ან კლიენტს, რა მიზნით ითხოვს მის პერსონალურ მონაცემებს დასამუშავებლად (152 კანონის მე-9 მუხლის მე-4 პუნქტი, მე-4 ნაწილი). ეს კეთდება ინფორმაციის მიწოდებაზე თანხმობის მიღების ნაწილი. მიზნების სია უნდა:

• იყოს ყოვლისმომცველი და კონკრეტული;
• დაიცვას წესდების, აგრეთვე ორგანიზაციის ადგილობრივი აქტების დებულებები;
• შეესაბამება იმას, თუ რა მიზნებს ახორციელებს კომპანია რეალურად.

მაგალითად, ბანკი ითხოვს ინფორმაციას კლიენტისგან. დამუშავების მიზანია მისი ანგარიშის მომსახურება, მათ შორის:

• ანგარიშის გახსნა,
• ანგარიშის შენახვა,
• ოპერაციები თანხების გადარიცხვის ანგარიშზე და ანგარიშზე,
• კლიენტის კონსულტაცია.

ინფორმაციის კიდევ ერთი მაგალითია კომპანიის პოლიტიკაში თანამშრომლების პერსონალური მონაცემების დამუშავების მიზნების ჩამოთვლა. ორგანიზაცია ადგენს, რომ ინფორმაცია გამოიყენება:

• განმცხადებლების რეზიუმეებთან მუშაობისას;
• შეასრულოს კომპანიის შრომითი ხელშეკრულებით ნაკისრი ვალდებულებები;
• შრომის, საგადასახადო და საპენსიო კანონების დაცვა;
• თანამშრომელთა ტრენინგის ორგანიზება და მათი პროფესიული დონის ამაღლება;
• ხელფასის გაანგარიშებისა და დარიცხვისას;
• თანამშრომლების მუშაობის ხარისხის კონტროლი;
• სხვადასხვა გარანტიებისა და შეღავათების მიცემისას და ა.შ.

დამუშავებაზე თანხმობა თითქმის ყველა შემთხვევაში უნდა იყოს მიღებული მონაცემთა სუბიექტისგან. თუ კრებულის მიზანია კომპანიის პოპულარიზაცია ბაზარზე ან პოლიტიკური პროპაგანდა, ოპერატორი ვალდებულია დაამტკიცოს პირის თანხმობა (152 კანონის მე-15 მუხლის 1-ლი ნაწილი). წინააღმდეგ შემთხვევაში ითვლება, რომ არ იყო მოთხოვნილი.

თანამშრომელთან ან კლიენტთან შეთანხმების გარდა, მონაცემების მოპოვების მიზნები უნდა აისახოს სპეციალურ დოკუმენტში - კომპანიის პოლიტიკა ასეთ მონაცემებთან მუშაობის შესახებ. ეს უნდა იყოს საჯარო დოკუმენტი. როგორც წესი, ის ქვეყნდება ორგანიზაციის ვებგვერდზე სპეციალურ განყოფილებაში.

პროფესიონალი დახმარების სისტემაიურისტებისთვის, რომელშიც იპოვით პასუხს ნებისმიერ, თუნდაც ყველაზე რთულ კითხვაზე.

პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ დებულება ადგენს საწარმოს თანამშრომლების შესახებ ინფორმაციის შემცველი ინფორმაციის შეგროვების, დაგროვების, შენახვის, გამოყენების, წაშლის და ა.შ. დოკუმენტში უნდა იყოს აღწერილი PD მესამე პირებზე გადაცემის პროცედურა, ავტომატური და არაავტომატური PD დამუშავების მახასიათებლები, PD-ზე წვდომის პროცედურა, შიდა კონტროლის ორგანიზების პროცედურა და პასუხისმგებლობა PD დამუშავებისას დარღვევებზე.

როგორ შევადგინოთ დებულება პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ

დოკუმენტი შემუშავებულია რუსეთის ფედერაციის კანონმდებლობის შესაბამისად პერსონალური მონაცემებისა და სახელმწიფო ხელისუფლების აღმასრულებელი ორგანოების მარეგულირებელი და მეთოდოლოგიური დოკუმენტები PD უსაფრთხოების საკითხებზე PD საინფორმაციო სისტემებში დამუშავებისას.

პერსონალურ მონაცემთა დაცვის რეგულაცია ჩვეულებრივ შედგება 11 ნაწილისგან:

1. ზოგადი დებულებები.
2. PD დამუშავების მიზნები და ამოცანები.
3. ISPD-ში დამუშავებული პერსონალური მონაცემები (სრული სახელი, დაბადების თარიღი, საკონტაქტო ტელეფონის ნომერი, რეგისტრაციის მისამართი, ფაქტობრივი საცხოვრებელი მისამართი).
4. PD-ზე წვდომა.
5. პერსონალური მონაცემების დაცვის ძირითადი მოთხოვნები.
6. თანხმობა PD დამუშავებაზე.
7. სუბიექტის უფლებები ოპერატორის მიერ დამუშავებულ პერსონალურ მონაცემებთან დაკავშირებით.
8. ISPDn ოპერატორის უფლებები და მოვალეობები.
9. პერსონალური მონაცემების დამუშავებისა და დაცვის პროცედურა.
10. ოპერატორის თანამშრომლების პერსონალური მონაცემების დამუშავების თავისებურებები.
11. პასუხისმგებლობა ამ დებულების დარღვევისთვის.

პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ დებულებები ვრცელდება შეგროვების, სისტემატიზაციის, დაგროვების, შენახვის, გარკვევის, გამოყენების, გავრცელების (გადაცემის ჩათვლით), დეპერსონალიზაციის, დაბლოკვის, პერსონალური მონაცემების განადგურების ყველა პროცესზე, რომელიც ხორციელდება ავტომატიზაციის ხელსაწყოების გამოყენებით და მათი გარეშე. გამოყენება.

პერსონალური მონაცემების სუბიექტები

PD საგნები მოიცავს:

• ოპერატორის თანამშრომლები.
• დასაქმების კანდიდატები.
• კლიენტები (ოპერატორის სერვისების მომხმარებლები).
• ინდივიდუალური მეწარმეები არიან ოპერატორის კონტრაგენტები.
• ორგანიზაციების კლიენტები, ოპერატორის კონტრაგენტები (კორპორატიული კლიენტების მომსახურება).
• სხვა პირები, რომელთა პერსონალურ მონაცემებს ამუშავებს ოპერატორი.

პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ დებულება ძალაში შედის დამტკიცების მომენტიდან და მოქმედებს განუსაზღვრელი ვადით, სანამ არ შეიცვლება ახალი რეგულაციებით. ორგანიზაციის ყველა თანამშრომელი უნდა იცნობდეს ამ დოკუმენტს ხელმოწერის საწინააღმდეგოდ.

რეგულაციები პერსონალური მონაცემების დამუშავებისა და დაცვის შესახებ

ზოგადი დებულებები

1.1.

ეს დებულება შემუშავებულია რუსეთის ფედერაციის კანონმდებლობის შესაბამისად პერსონალური მონაცემების შესახებ (შემდგომში PD) და სახელმწიფო ხელისუფლების აღმასრულებელი ორგანოების მარეგულირებელი და მეთოდოლოგიური დოკუმენტები PD უსაფრთხოების საკითხებზე PD საინფორმაციო სისტემებში დამუშავებისას (შემდგომში - როგორც PDIS).

1.2.

ამ წესების მიზნებისათვის გამოიყენება შემდეგი ტერმინები:

პირადი მონაცემები (PD) - ნებისმიერი ინფორმაცია, რომელიც დაკავშირებულია პირდაპირ ან ირიბად განსაზღვრულ ან დადგენილთან ინდივიდს(პერსონალური მონაცემების საგანზე);

ოპერატორი - სახელმწიფო ორგანო, მუნიციპალური ორგანო, იურიდიული ან ფიზიკური პირი, რომელიც დამოუკიდებლად ან სხვა პირებთან ერთად ორგანიზებას უწევს და (ან) ახორციელებს პერსონალური მონაცემების დამუშავებას, აგრეთვე ადგენს პერსონალური მონაცემების დამუშავების მიზნებს, პერსონალურ შემადგენლობას. დასამუშავებელი მონაცემები, პერსონალური მონაცემებით შესრულებული მოქმედებები (ოპერაციები);

PD დამუშავება - ნებისმიერი ქმედება (ოპერაცია) ან მოქმედებების (ოპერაციების) ნაკრები, რომელიც შესრულებულია ავტომატიზაციის ხელსაწყოების გამოყენებით ან ასეთი ხელსაწყოების გამოყენების გარეშე PD-ით, მათ შორის შეგროვება, ჩაწერა, სისტემატიზაცია, დაგროვება, შენახვა, დაზუსტება (განახლება, შეცვლა), მოპოვება, გამოყენება. , პერსონალური მონაცემების გადაცემა (გავრცელება, უზრუნველყოფა, წვდომა), დეპერსონალიზაცია, დაბლოკვა, წაშლა, განადგურება;

პერსონალური მონაცემების ავტომატური დამუშავება - პერსონალური მონაცემების დამუშავება კომპიუტერული ტექნოლოგიების გამოყენებით;

პერსონალური მონაცემების გავრცელება - ქმედებები, რომლებიც მიმართულია პერსონალური მონაცემების განუსაზღვრელი რაოდენობის პირებისთვის გამჟღავნებაზე;

PD-ის უზრუნველყოფა - ქმედებები, რომლებიც მიზნად ისახავს PD-ს გარკვეული პირისთვის ან პირთა გარკვეული წრის გამჟღავნებას;

PD ბლოკირება - PD დამუშავების დროებითი შეწყვეტა (გარდა შემთხვევებისა, როდესაც დამუშავება აუცილებელია PD-ის გასარკვევად);

PD-ს განადგურება - ქმედებები, რის შედეგადაც შეუძლებელი ხდება PD-ის შინაარსის აღდგენა ISPD-ში და/ან რის შედეგადაც ნადგურდება PD-ს მატერიალური მედია;

პერსონალური მონაცემების დეპერსონალიზაცია - ქმედებები, რის შედეგადაც იგი შეუძლებელი ხდება გამოყენების გარეშე დამატებითი ინფორმაციაგანსაზღვრავს, ეკუთვნის თუ არა PD კონკრეტულ PD სუბიექტს;

პერსონალური მონაცემების საინფორმაციო სისტემა (PDIS) - მონაცემთა ბაზებში შემავალი პერსონალური მონაცემების ნაკრები და მათი დამუშავების უზრუნველყოფა საინფორმაციო ტექნოლოგიებიდა ტექნიკური საშუალებები;

პერსონალური მონაცემების ტრანსსასაზღვრო გადაცემა - პერსონალური მონაცემების გადაცემა უცხო სახელმწიფოს ტერიტორიაზე უცხო სახელმწიფოს ორგანოს, უცხო ფიზიკური ან უცხოური იურიდიული პირისთვის.

1.3.

ეს დებულება განსაზღვრავს PD-ის დამუშავების პროცედურას და პირობებს (შემდგომში ოპერატორი), მათ შორის PD-ის მესამე პირებზე გადაცემის პროცედურას, ავტომატური და არაავტომატიზირებული PD დამუშავების მახასიათებლებს, PD-ზე წვდომის პროცედურას, PD-ში. დაცვის სისტემა, შიდა კონტროლის ორგანიზების პროცედურა და პასუხისმგებლობა PD დამუშავებისას დარღვევებზე, სხვა კითხვები.

1.4.

ეს რეგულაცია ვრცელდება ავტომატიზაციის ინსტრუმენტების გამოყენებით და მათი გამოყენების გარეშე შეგროვების, სისტემატიზაციის, დაგროვების, შენახვის, დაზუსტების, გამოყენების, განაწილების (გადაცემის ჩათვლით), დეპერსონალიზაციის, დაბლოკვის, პერსონალური მონაცემების განადგურების ყველა პროცესზე.

1.5.

ეს დებულება ძალაში შედის ოპერატორის მიერ მისი დამტკიცების მომენტიდან და მოქმედებს განუსაზღვრელი ვადით, სანამ არ შეიცვლება ახალი დებულებით.

1.6.

რეგლამენტში ყველა ცვლილება შეკვეთით ხდება.

1.7.

ოპერატორის ყველა თანამშრომელი ხელმოწერისთანავე უნდა იცნობდეს ამ წესებს.

PD დამუშავების მიზნები და ამოცანები

2.1.

პერსონალური მონაცემების დამუშავება უნდა შემოიფარგლოს კონკრეტული, წინასწარ განსაზღვრული და ლეგიტიმური მიზნების მიღწევით. დაუშვებელია პერსონალური მონაცემების დამუშავება, რომელიც შეუთავსებელია პერსონალური მონაცემების შეგროვების მიზნებთან.

2.2.

დაუშვებელია პერსონალური მონაცემების შემცველი მონაცემთა ბაზების გაერთიანება, რომელთა დამუშავება ხორციელდება ერთმანეთთან შეუთავსებელი მიზნებით.

2.3.

დამუშავებას ექვემდებარება მხოლოდ პერსონალური მონაცემები, რომლებიც აკმაყოფილებს მათი დამუშავების მიზნებს.

2.4.

2.5.

ოპერატორის თანამშრომლების პერსონალური მონაცემების დამუშავება შეიძლება განხორციელდეს მხოლოდ კანონებისა და სხვა რეგულაციების დაცვის უზრუნველსაყოფად, თანამშრომლების დასახმარებლად დასაქმებაში, ტრენინგსა და დაწინაურებაში, თანამშრომლების პირადი უსაფრთხოების უზრუნველსაყოფად, შესრულებული სამუშაოს რაოდენობისა და ხარისხის მონიტორინგის მიზნით. ოპერატორის ქონების უსაფრთხოების უზრუნველყოფა.

2.6.

PD დამუშავების ძირითადი მიზნებია:

პერსონალური მონაცემების დამუშავების დამატებითი მიზნებია: .

2.7.

ISPDn იძლევა გადაწყვეტილებებს შემდეგი ამოცანების შესახებ: .

ISPDn-ში დამუშავებული პერსონალური მონაცემები

3.1.

ISPD ამუშავებს პერსონალური მონაცემების შემდეგი სუბიექტების პერსონალურ მონაცემებს:

3.1.1.

ოპერატორის თანამშრომლები;

3.1.2.

კლიენტები (ოპერატორის მომსახურების მომხმარებლები);

3.1.3.

ინდივიდუალური მეწარმეები - ოპერატორის კონტრაგენტები;

3.1.4.

ორგანიზაციების კლიენტები, ოპერატორის კონტრაგენტები (კორპორატიული კლიენტების მომსახურება);

3.2.

ეს სია შეიძლება გადაიხედოს საჭიროებისამებრ.

3.3.

PD სუბიექტების პერსონალური მონაცემები მოიცავს:

3.4.

ოპერატორის საინფორმაციო სისტემაში დაცვას დაქვემდებარებული პერსონალური მონაცემების სიაში ყალიბდება დამუშავებული პერსონალური მონაცემების სრული სიები.

პერსონალურ მონაცემებზე წვდომა

4.1.

ოპერატორის თანამშრომლები, რომლებიც თავიანთი სამსახურებრივი მოვალეობების გამო მუდმივად მუშაობენ პერსონალურ მონაცემებთან, იღებენ წვდომას პერსონალურ მონაცემებზე საჭირო კატეგორიებზე შესაბამისი სამსახურებრივი მოვალეობების შესრულების პერიოდში პერსონალურ მონაცემებთან მუშაობის უფლებამოსილი პირების სიის საფუძველზე, რომელსაც ამტკიცებს ოპერატორის უფროსი. სია შედგენილია კონცეფციის საფუძველზე ინფორმაციის უსაფრთხოებადა ინფორმაციის უსაფრთხოების პოლიტიკა.

4.2.

იმ პირთა სია, რომლებსაც აქვთ წვდომა საინფორმაციო სისტემის პერსონალურ მონაცემებზე, უნდა იყოს განახლებული.

4.3.

ოპერატორმა დაადგინა პერსონალურ მონაცემებზე წვდომის ნებართვის პროცედურა. ოპერატორის თანამშრომლებს პერსონალურ მონაცემებთან მუშაობაზე წვდომა ეძლევათ მხოლოდ იმ მოცულობითა და მოცულობით, რაც მათ სჭირდებათ სამსახურებრივი მოვალეობების შესასრულებლად, მენეჯერის გადაწყვეტილებით.

4.4.

ოფიციალური საჭიროებიდან გამომდინარე პერსონალურ მონაცემებთან მუშაობის დროებითი ან ერთჯერადი ნებართვა შეიძლება მიიღოს ოპერატორის თანამშრომელმა მენეჯერის თანხმობით.

4.5.

PD-ზე წვდომა მესამე პირების მიერ, რომლებიც არ არიან ოპერატორის თანამშრომლები PD სუბიექტის თანხმობის გარეშე, აკრძალულია, გარდა აღმასრულებელი ხელისუფლების თანამშრომლების წვდომისა, რომელიც განხორციელებულია კანონმდებლობის შესრულების კონტროლისა და ზედამხედველობის ღონისძიებების ფარგლებში, შესაბამისი სამთავრობო ორგანოების ფუნქციებისა და უფლებამოსილებების განხორციელება. სახელმწიფო ორგანოს მოთხოვნით ან მოთხოვნით ინფორმაციის მიწოდება ხორციელდება ოპერატორის უფროსის ცოდნით.

4.6.

თუ მესამე მხარის ორგანიზაციის თანამშრომელს ესაჭიროება ოპერატორის PD-ზე წვდომა, მაშინ აუცილებელია, რომ მესამე მხარის ორგანიზაციასთან ხელშეკრულებაში განისაზღვროს PD კონფიდენციალურობის პირობები და მესამე მხარის ორგანიზაციისა და მისი თანამშრომლების ვალდებულება, დაიცვას პდ დაცვის სფეროში მოქმედი კანონმდებლობის მოთხოვნები. გარდა ამისა, პირთა მიერ პერსონალურ მონაცემებზე წვდომის შემთხვევაში, რომლებიც არ არიან ოპერატორის თანამშრომლები, მიღებული უნდა იქნეს პერსონალური მონაცემების სუბიექტების თანხმობა მათი პერსონალური მონაცემების მესამე პირებისთვის მიწოდებაზე. მითითებული თანხმობა არ არის საჭირო, თუ პდ არის გათვალისწინებული ოპერატორის მიერ პდ სუბიექტთან სამოქალაქო ხელშეკრულების გასაფორმებლად.

4.7.

ოპერატორის თანამშრომლის პერსონალურ მონაცემებზე წვდომა წყდება შრომითი ურთიერთობის შეწყვეტის, ან დასაქმებულის სამსახურებრივი მოვალეობების შეცვლის ან/და პერსონალურ მონაცემებზე წვდომის უფლების მქონე პირთა სიიდან თანამშრომლის ამორიცხვის დღიდან. თანამდებობიდან გათავისუფლების შემთხვევაში, ყველა მედია, რომელიც შეიცავს PD, რომელიც, შესაბამისად სამუშაო პასუხისმგებლობებისამუშაოს დროს იყო თანამშრომლის განკარგულებაში, უნდა გადაეცეს შესაბამის თანამდებობის პირს.

პერსონალური მონაცემების დაცვის ძირითადი მოთხოვნები

5.1.

საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავებისას უზრუნველყოფილი უნდა იყოს შემდეგი:

ა) ღონისძიებების გატარება, რომლებიც მიზნად ისახავს პერსონალურ მონაცემებზე არასანქცირებული წვდომის აღკვეთას ან/და მათი გადაცემის იმ პირებს, რომლებსაც არ აქვთ ამ ინფორმაციაზე წვდომის უფლება;

ბ) პერსონალურ მონაცემებზე არასანქცირებული წვდომის ფაქტების დროული გამოვლენა;

გ) პერსონალური მონაცემების ავტომატური დამუშავების ტექნიკურ საშუალებებზე ზემოქმედების თავიდან აცილება, რის შედეგადაც შეიძლება დაირღვეს მათი ფუნქციონირება;

დ) მათზე არასანქცირებული წვდომის გამო შეცვლილი ან განადგურებული პერსონალური მონაცემების დაუყოვნებელი აღდგენის შესაძლებლობა;

ე) მუდმივი კონტროლი PD უსაფრთხოების დონის უზრუნველყოფაზე.

5.2.

ოპერატორი ვალდებულია მიიღოს აუცილებელი სამართლებრივი, ორგანიზაციული, ტექნიკური და სხვა ღონისძიებები პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად.

5.3.

უსაფრთხოების მოთხოვნების შემუშავებისა და PD უსაფრთხოების სისტემის დანერგვის მიზნით, ოპერატორმა შეიმუშავა "PD უსაფრთხოების საფრთხეების მოდელი ISPD-ში დამუშავებისას" მარეგულირებელ და მეთოდოლოგიურ დოკუმენტზე დაყრდნობით. რუსეთის FSTEC„პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავების დროს პერსონალური მონაცემების უსაფრთხოების საფრთხის ძირითადი მოდელი“.

5.4.

ოპერატორი სამთავრობო უწყებების მმართველი დოკუმენტის შესაბამისად - რუსეთის ფედერაციის მთავრობის 2012 წლის 1 ნოემბრის No1119 დადგენილება „პერსონალური მონაცემების დაცვის მოთხოვნების დამტკიცების შესახებ პერსონალური მონაცემების საინფორმაციო სისტემებში მათი დამუშავებისას“.განხორციელდა ოპერატორის ISPD-ის კლასიფიკაცია.

5.5.

კომისიამ შეადგინა ავტომატიზაციის ინსტრუმენტების გამოყენებით დამუშავებული ISPD-ის კლასიფიკაციის სერტიფიკატი:

5.6.

ოპერატორმა, ISPD-ის შემოწმების ანგარიშის საფუძველზე და რუსეთის FSTEC-ის მარეგულირებელი და მეთოდოლოგიური დოკუმენტის შესაბამისად, „პერსონალური მონაცემების საინფორმაციო სისტემებში დამუშავებული პერსონალური მონაცემების უსაფრთხოების ორგანიზებისა და ტექნიკური მხარდაჭერის ძირითადი ზომები“, შეიმუშავა. და განხორციელდა პერსონალური მონაცემების დაცვისა და უსაფრთხოების უზრუნველყოფის ღონისძიებების ერთობლიობა („სამოქმედო გეგმა“) პერსონალური მონაცემების უსაფრთხოების უზრუნველსაყოფად“).

5.7.

ოპერატორი იყენებს ტექნიკურ საშუალებებს და პროგრამულ უზრუნველყოფას პერსონალური მონაცემების დასამუშავებლად და დასაცავად. ასევე ინახება პერსონალური მონაცემების დაცვის საშუალებების ჟურნალი.

5.8.

ოპერატორი ინახავს მოსახსნელი მედიის აღრიცხვისა და შენახვის ჟურნალს.

5.9.

ISPD-ის ზემოაღნიშნული ტექნიკური საშუალებები განთავსებულია ოპერატორის ოფისსა და შენობაში.

5.10.

ყველა პირი, რომელიც უფლებამოსილია იმუშაოს PD-სთან, ისევე როგორც ის, ვინც დაკავშირებულია ISPD-ის ფუნქციონირებასთან და ტექნიკურ მხარდაჭერასთან, ხელმოწერისთანავე უნდა გაეცნოს ამ დებულების მოთხოვნებს და ასევე უნდა მოაწეროს ხელი „შეთანხმებას პერსონალური მონაცემების კონფიდენციალურობის უზრუნველსაყოფად. ოპერატორის თანამშრომლები“, მოცემული ამ დებულების დანართში.

5.11.

ოპერატორმა მოაწყო სასწავლო პროცესი ოპერატორის მიერ პერსონალური მონაცემთა დაცვის საშუალებების გამოყენებისთვის. ამ სფეროში ტრენინგი რეკომენდირებულია დაავადებულთათვის მუდმივი წვდომა PD-ს და პირებს, რომლებიც მუშაობენ ISPD და ISPD დაცვის საშუალებების აპარატურულ და პროგრამულ უზრუნველყოფას. პირებმა, რომლებიც პასუხისმგებელნი არიან ISPD ინფორმაციის უსაფრთხოების ინსტრუმენტების მუშაობაზე, უნდა გაიარონ სავალდებულო ტრენინგი.

5.12.

თანამშრომლები ვალდებულნი არიან დაუყოვნებლივ აცნობონ ოპერატორის შესაბამის თანამდებობის პირს პერსონალური მონაცემების შემადგენელი შენახვის საშუალებების დაკარგვის ან დეფიციტის შესახებ, აგრეთვე პერსონალური მონაცემების შესაძლო გაჟონვის მიზეზებისა და პირობების შესახებ. თუ არაუფლებამოსილი პირები ცდილობენ მოიპოვონ ოპერატორის მიერ დამუშავებული თანამშრომლის PD, დაუყოვნებლივ აცნობეთ ოპერატორის შესაბამის თანამდებობის პირს.

თანხმობა PD დამუშავებაზე

6.1.

PD სუბიექტი გადაწყვეტს მიაწოდოს თავისი PD და თანხმდება მის დამუშავებაზე თავისუფლად, საკუთარი ნებით და საკუთარი ინტერესებიდან გამომდინარე. პერსონალური მონაცემების დამუშავებაზე თანხმობა უნდა იყოს კონკრეტული, ინფორმირებული და გაცნობიერებული. პერსონალური მონაცემების დამუშავებაზე თანხმობა შეიძლება გასცეს პერსონალური მონაცემების სუბიექტს ან მის წარმომადგენელს ნებისმიერი ფორმით, რაც საშუალებას იძლევა დაადასტუროს მისი მიღების ფაქტი, თუ სხვა რამ არ არის გათვალისწინებული რუსეთის ფედერაციის კანონმდებლობით. თუ PD დამუშავებაზე თანხმობა მიიღება PD სუბიექტის წარმომადგენლისგან, ამ წარმომადგენლის უფლებამოსილება, გასცეს თანხმობა PD სუბიექტის სახელით, მოწმდება ოპერატორის მიერ.

6.2.

პერსონალური მონაცემების დამუშავებაზე წერილობითი თანხმობის მიღებას ახორციელებს ოპერატორის თანამშრომელი პერსონალური მონაცემების სუბიექტიდან პერსონალური მონაცემების მიღებისთანავე ოპერატორი ISPD-ის მიერ დადგენილი ფორმით წერილობითი თანხმობის გაცემით.

სუბიექტის უფლებები ოპერატორის მიერ დამუშავებულ პერსონალურ მონაცემებთან დაკავშირებით

7.1.

PD სუბიექტს უფლება აქვს:

მიიღოს ინფორმაცია ოპერატორისგან მისი პერსონალური მონაცემების დამუშავების შესახებ. ინფორმაცია PD სუბიექტს უნდა მიეწოდოს ოპერატორის მიერ ხელმისაწვდომი ფორმით და ის არ უნდა შეიცავდეს PD-ს, რომელიც ეხება სხვა PD სუბიექტებს, გარდა იმ შემთხვევისა, როდესაც არსებობს ასეთი PD-ის გამჟღავნების სამართლებრივი საფუძველი. ინფორმაციის ჩამონათვალი და ინფორმაციის მიღების წესი გათვალისწინებულია რუსეთის ფედერაციის მოქმედი კანონმდებლობით;

მოსთხოვეთ ოპერატორს, დააზუსტოს მისი პერსონალური მონაცემები, დაბლოკოს ან გაანადგუროს ისინი, თუ პერსონალური მონაცემები არასრულია, მოძველებული, არაზუსტი, უკანონოდ მიღებული ან არ არის აუცილებელი დამუშავების მითითებული მიზნისთვის, ასევე მიიღოს ზომები რუსეთის კანონმდებლობით. ფედერაცია მათი უფლებების დასაცავად;

ექვემდებარება წინასწარი წერილობითი თანხმობის დამუშავებას პერსონალური მონაცემების დამუშავებისას საქონლის, სამუშაოების, მომსახურების ბაზარზე პოპულარიზაციის მიზნით პოტენციურ მომხმარებლებთან პირდაპირი კონტაქტების დამყარებით კომუნიკაციების გამოყენებით, ასევე პოლიტიკური პროპაგანდის მიზნებისთვის;

ექვემდებარება წერილობითი თანხმობის პირობას PD-ის ექსკლუზიურად ავტომატური დამუშავების საფუძველზე ოპერატორის მიერ გადაწყვეტილებების მიღებისას, რომლებიც წარმოშობს სამართლებრივ შედეგებს PD-ის საგანთან დაკავშირებით ან სხვაგვარად მოქმედებს მის უფლებებსა და ლეგიტიმურ ინტერესებზე;

გააპროტესტოს ოპერატორის გადაწყვეტილებები მხოლოდ მისი პერსონალური მონაცემების ავტომატური დამუშავების საფუძველზე და ასეთი გადაწყვეტილების შესაძლო სამართლებრივი შედეგების საფუძველზე;

გაასაჩივროს ოპერატორის ქმედება ან უმოქმედობა პერსონალური მონაცემების სუბიექტების უფლებების დაცვის უფლებამოსილ ორგანოში ან სასამართლოში.

ISPDn ოპერატორის უფლებები და მოვალეობები

8.1.

ISPDn ოპერატორს უფლება აქვს:

8.1.1.

PD-ის დამუშავება სხვა პირს მიანდეთ PD სუბიექტის თანხმობით, თუ ფედერალური კანონით სხვა რამ არ არის გათვალისწინებული, ამ პირთან დადებული ხელშეკრულების საფუძველზე, მათ შორის სახელმწიფო ან მუნიციპალური ხელშეკრულება, ან შესაბამისი აქტის მიღებით. სახელმწიფო ან მუნიციპალური ორგანო.

8.1.2.

თუ PD სუბიექტი ხსნის თანხმობას PD დამუშავებაზე, განაგრძეთ PD დამუშავება PD სუბიექტის თანხმობის გარეშე, თუ არსებობს რუსეთის ფედერაციის კანონმდებლობით განსაზღვრული საფუძველი.

8.1.3.

უარი თქვით პერსონალური მონაცემების სუბიექტს ინფორმაციის განმეორებით მოთხოვნის შესრულებაზე, რომელიც არ შეესაბამება რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებულ პირობებს. ასეთი უარი უნდა იყოს მოტივირებული. განმეორებითი მოთხოვნის შესრულებაზე უარის მართებულობის დამადასტურებელი მტკიცებულების წარდგენის ვალდებულება ეკისრება ოპერატორს.

8.1.4.

დამოუკიდებლად განსაზღვრავს იმ ღონისძიებების შემადგენლობას და სიას, რაც აუცილებელია და საკმარისია რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული IPDN ოპერატორის ვალდებულებების შესრულების უზრუნველსაყოფად.

8.2.

ISPD ოპერატორი ვალდებულია:

8.2.1.

PD დამუშავების დაწყებამდე, ოპერატორი ვალდებულია აცნობოს PD სუბიექტების უფლებების დაცვის უფლებამოსილ ორგანოს მისი განზრახვის შესახებ PD დამუშავების შესახებ, გარდა რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული შემთხვევებისა.

8.2.2.

PD-ზე წვდომისას არ გაუმჟღავნოთ PD მესამე პირებს ან არ გაავრცელოთ PD PD სუბიექტის თანხმობის გარეშე, თუ ფედერალური კანონით სხვა რამ არ არის გათვალისწინებული.

8.2.3.

მიაწოდეთ PD-ს თანხმობის მოპოვების მტკიცებულება, რომელიც ექვემდებარება მისი PD-ის დამუშავებას ან მტკიცებულება PD-ს დამუშავების სამართლებრივი საფუძვლის არსებობის შესახებ PD-ს სუბიექტის თანხმობის გარეშე.

8.2.4.

სანამ დაიწყება პერსონალური მონაცემების ტრანსსასაზღვრო გადაცემა, დარწმუნდით, რომ უცხო სახელმწიფო, რომლის ტერიტორიაზეც ხდება პერსონალური მონაცემების გადაცემა, უზრუნველყოფს პერსონალური მონაცემების სუბიექტების უფლებების ადექვატურ დაცვას.

8.2.5.

PD სუბიექტის მოთხოვნით, შეწყვიტოს მისი PD დამუშავება საქონლის, სამუშაოების, მომსახურების ბაზარზე პოპულარიზაციის მიზნით პოტენციურ მომხმარებლებთან პირდაპირი კონტაქტების დამყარებით კომუნიკაციების გამოყენებით, ასევე პოლიტიკური პროპაგანდის მიზნებისთვის.

8.2.6.

აუხსენით PD სუბიექტს გადაწყვეტილების მიღების პროცედურა, რომელიც ეფუძნება მხოლოდ მისი PD-ს ავტომატიზებულ დამუშავებას და ასეთი გადაწყვეტილების შესაძლო იურიდიულ შედეგებს, მიეცით შესაძლებლობა გააპროტესტოს ასეთი გადაწყვეტილება და ასევე აუხსენით პროცედურები PD სუბიექტის დაცვის მიზნით. მისი უფლებები და კანონიერი ინტერესები.

ოპერატორი ვალდებულია განიხილოს საჩივარი მისი მიღებიდან ოცდაათი დღის ვადაში და აცნობოს პდ სუბიექტს ასეთი წინააღმდეგობის განხილვის შედეგები.

8.2.7.

PD-ს შეგროვებისას, PD სუბიექტს მიაწოდეთ, მისი მოთხოვნით, რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული ინფორმაცია.

თუ PD სუბიექტისთვის PD-ის მიწოდება სავალდებულოა ფედერალური კანონის შესაბამისად, ოპერატორი ვალდებულია აუხსნას PD სუბიექტს მისი PD-ის მიწოდებაზე უარის თქმის სამართლებრივი შედეგები.

8.2.8.

თუ PD არ არის მიღებული PD სუბიექტისგან, ოპერატორი, გარდა რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული შემთხვევებისა, ასეთი PD დამუშავებამდე, PD სუბიექტს აწვდის შემდეგ ინფორმაციას:

1) ოპერატორის ან მისი წარმომადგენლის სახელი ან გვარი, სახელი, პატრონიმი და მისამართი;

2) PD დამუშავების მიზანი და მისი სამართლებრივი საფუძველი;

3) პერსონალური მონაცემების სავარაუდო მომხმარებლები;

4) ამ ფედერალური კანონით დადგენილი პერსონალური მონაცემების სუბიექტის უფლებები;

5) პდ მიღების წყარო.

8.2.9.

მიიღოს აუცილებელი და საკმარისი ზომები რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული IPDN ოპერატორის ვალდებულებების შესრულების უზრუნველსაყოფად.

8.2.11.

ინფორმაციისა და სატელეკომუნიკაციო ქსელების გამოყენებით PD-ს შეგროვებისას, გამოაქვეყნეთ შესაბამის საინფორმაციო და სატელეკომუნიკაციო ქსელში დოკუმენტი, რომელიც განსაზღვრავს მის პოლიტიკას PD-ის დამუშავებასთან დაკავშირებით და ინფორმაცია PD-ის დაცვის განხორციელებული მოთხოვნების შესახებ, ასევე უზრუნველყოთ მითითებულზე წვდომის შესაძლებლობა. დოკუმენტი შესაბამისი საინფორმაციო-სატელეკომუნიკაციო ქსელის საშუალებით.

8.2.12.

წარმოადგინოს რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული დოკუმენტები და ადგილობრივი აქტები და/ან სხვაგვარად დაადასტუროს IPDN ოპერატორის ვალდებულებების შესრულების უზრუნველსაყოფად აუცილებელი და საკმარისი ზომების მიღება, უფლებამოსილი ორგანოს მოთხოვნით დაცვის მიზნით. PD სუბიექტების უფლებები.

8.2.13.

PD დამუშავებისას, მიიღეთ აუცილებელი სამართლებრივი, ორგანიზაციული და ტექნიკური ზომები ან უზრუნველყოთ მათი მიღება, რათა დაიცვას PD მასზე არაავტორიზებული ან შემთხვევითი წვდომისგან, განადგურებისგან, მოდიფიკაციისგან, დაბლოკვისგან, კოპირებისგან, უზრუნველყოფისგან, გავრცელებისგან, აგრეთვე სხვა უკანონო ქმედებებისგან. PD-სთან დაკავშირებით.

8.2.14.

აცნობეთ, რუსეთის ფედერაციის კანონმდებლობით დადგენილი წესით, პერსონალური მონაცემების სუბიექტს ან მის წარმომადგენლობით ინფორმაციას პერსონალური მონაცემების შესაბამის საგანთან დაკავშირებული პერსონალური მონაცემების ხელმისაწვდომობის შესახებ და ასევე მიეცით შესაძლებლობა გაეცნოთ. ეს პერსონალური მონაცემები პერსონალური მონაცემების სუბიექტს ან მის წარმომადგენელს მიმართვისას ან სუბიექტის მოთხოვნის PD ან მისი წარმომადგენლის მიღებიდან ოცდაათი დღის განმავლობაში.

8.2.15.

PD სუბიექტისთვის ან მისი წარმომადგენლისათვის შესაბამისი PD სუბიექტის ან მისი წარმომადგენლის შესახებ ინფორმაციის მიწოდებაზე უარის თქმის შემთხვევაში ან PD სუბიექტის ან მისი წარმომადგენლის მოთხოვნის მიღებისას, ოპერატორი ვალდებულია მისცეს წერილობითი დასაბუთებული პასუხი, რომელიც შეიცავს მითითებას რუსეთის ფედერაციის კანონმდებლობის დებულებაზე, რომელიც არის ასეთი უარის საფუძველი, არაუმეტეს ოცდაათი დღის განმავლობაში PD სუბიექტის ან მისი წარმომადგენლის განაცხადის დღიდან ან დღიდან. პდ სუბიექტის ან მისი წარმომადგენლის მოთხოვნის მიღება.

8.2.16.

PD-ის სუბიექტი ან მისი წარმომადგენელი არასრული, არაზუსტი ან შეუსაბამო ინფორმაციის მიწოდების დღიდან არაუმეტეს შვიდი სამუშაო დღის განმავლობაში, ოპერატორი ვალდებულია შეიტანოს მათში აუცილებელი ცვლილებები. არაუმეტეს შვიდი სამუშაო დღის განმავლობაში იმ დღიდან, როდესაც PD სუბიექტი ან მისი წარმომადგენელი წარადგენს ინფორმაციას, რომელიც ადასტურებს, რომ ასეთი PD უკანონოდ არის მიღებული ან არ არის აუცილებელი დამუშავების მითითებული მიზნისთვის, ოპერატორი ვალდებულია გაანადგუროს ასეთი PD. ოპერატორი ვალდებულია აცნობოს პდ სუბიექტს ან მის წარმომადგენელს განხორციელებული ცვლილებებისა და მიღებული ზომების შესახებ და მიიღოს გონივრული ზომები, რათა აცნობოს მესამე პირებს, რომლებსაც გადაეცა ამ სუბიექტის პდ.

8.2.17.

პერსონალური მონაცემების სუბიექტების უფლებების დაცვის უფლებამოსილ ორგანოს ამ ორგანოს მოთხოვნით შეატყობინოს საჭირო ინფორმაცია ასეთი მოთხოვნის მიღებიდან ოცდაათი დღის ვადაში.

8.2.18.

თუ აღმოჩენილია PD-ის უკანონო დამუშავება, რომელსაც ახორციელებს ოპერატორი ან ოპერატორის სახელით მოქმედი პირი, ოპერატორი, ამ აღმოჩენის დღიდან არაუმეტეს სამი სამუშაო დღის ვადაში, ვალდებულია შეაჩეროს PD-ის უკანონო დამუშავება. ან უზრუნველყოს ოპერატორის სახელით მოქმედი პირის მიერ PD-ის უკანონო დამუშავების შეწყვეტა. თუ შეუძლებელია PD დამუშავების კანონიერების უზრუნველყოფა, ოპერატორი, არაუმეტეს ათი სამუშაო დღის ვადაში PD-ის უკანონო დამუშავების გამოვლენის დღიდან, ვალდებულია გაანადგუროს ასეთი PD ან უზრუნველყოს მისი განადგურება. ოპერატორი ვალდებულია აცნობოს პდ სუბიექტს ან მის წარმომადგენელს დარღვევების აღმოფხვრის ან პდ-ის განადგურების შესახებ და თუ PD სუბიექტის ან მისი წარმომადგენლის მიმართვა ან უფლებამოსილი ორგანოს მოთხოვნა PD-ს სუბიექტების უფლებების დაცვის შესახებ. გამოგზავნილი იყო პდ სუბიექტების უფლებების დაცვის უფლებამოსილი ორგანოს, ასევე მითითებული ორგანოს მიერ.

8.2.19.

თუ პერსონალური მონაცემების დამუშავების მიზანი მიღწეულია, ოპერატორი ვალდებულია შეწყვიტოს პერსონალური მონაცემების დამუშავება ან უზრუნველყოს მისი შეწყვეტა (თუ პერსონალური მონაცემების დამუშავებას ახორციელებს ოპერატორის სახელით მოქმედი სხვა პირი) და გაანადგუროს პერსონალური მონაცემები ან უზრუნველყოს მათი განადგურება. (თუ პერსონალური მონაცემების დამუშავებას ახორციელებს სხვა პირი, რომელიც მოქმედებს ოპერატორის სახელით) დროულად, არა უმეტეს ოცდაათი დღისა PD დამუშავების მიზნის მიღწევის დღიდან, თუ სხვა რამ არ არის გათვალისწინებული ხელშეკრულებით, რომელსაც PD სუბიექტი წარმოადგენს. მხარე, ბენეფიციარი ან გარანტი, სხვა შეთანხმება ოპერატორსა და PD სუბიექტს შორის, ან თუ ოპერატორს არ აქვს უფლება დაამუშავოს PD სუბიექტის თანხმობის გარეშე რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული საფუძვლებით.

8.2.20.

თუ PD-ს სუბიექტი ხსნის თანხმობას მისი PD-ის დამუშავებაზე, შეაჩერე მათი დამუშავება ან უზრუნველყოს ასეთი დამუშავების შეწყვეტა (თუ PD დამუშავება ხორციელდება სხვა პირის მიერ, რომელიც მოქმედებს ოპერატორის სახელით) და თუ PD-ის შენარჩუნება აღარ არის საჭიროა PD დამუშავების მიზნებისათვის, გაანადგურეთ PD ან უზრუნველყოთ მათი განადგურება (თუ PD დამუშავება ხორციელდება სხვა პირის მიერ, რომელიც მოქმედებს ოპერატორის სახელით) აღნიშნული პასუხის მიღებიდან არაუმეტეს ოცდაათი დღის განმავლობაში, თუ სხვაგვარად გათვალისწინებულია ხელშეკრულებით, რომლის მხარე, ბენეფიციარი ან გარანტია PD სუბიექტი, ან სხვა შეთანხმება ოპერატორსა და PD სუბიექტს შორის, ან თუ ოპერატორს არ აქვს უფლება დაამუშავოს PD სუბიექტის თანხმობის გარეშე გათვალისწინებული საფუძვლებით. რუსეთის ფედერაციის კანონმდებლობით.

8.2.21.

დანიშნოს პერსონალური მონაცემების დამუშავების ორგანიზებაზე პასუხისმგებელი პირი.

პერსონალური მონაცემების დამუშავებისა და დაცვის პროცედურა

9.1.

ოპერატორის მიერ დამუშავებული პერსონალური მონაცემების კონფიდენციალურობის უზრუნველყოფა სავალდებულო მოთხოვნაა ყველა იმ პირისთვის, ვისთვისაც პერსონალური მონაცემები გახდა ცნობილი.

9.2.

ოპერატორის თანამშრომლებს, რომლებიც ამუშავებენ დოკუმენტებს, მოეთხოვებათ მიღება დადგენილი შემთხვევები PD სუბიექტების თანხმობა დამუშავებაზე.

9.3.

PD-ის დამუშავების დადგენილი პროცედურის დარღვევის შემთხვევაში ოპერატორის თანამშრომლები პასუხისმგებელნი არიან ამ რეგლამენტის მე-9 ნაწილის შესაბამისად.

9.4.

ოპერატორის მიერ დამუშავებული ქაღალდზე საგნების PD ინახება განყოფილებებში (თანამშრომლებთან), რომლებსაც აქვთ შესაბამისი PD-ის დამუშავების ნებართვა. თანამშრომლების არაავტომატურ ISPD-ში დაშვების უფლება განისაზღვრება მენეჯერის ბრძანებით. პერსონალური მონაცემების მატარებლები არ უნდა დარჩეს უყურადღებოდ. სამუშაო ადგილიდან გასვლისას თანამშრომლებმა, რომლებიც ამუშავებენ პერსონალურ მონაცემებს, უნდა მოათავსონ მედია უსაფრთხო, ჩაკეტილ კაბინეტში ან სხვაგვარად შეზღუდონ მედიაზე არაავტორიზებული წვდომა. თუ პერსონალური მონაცემები დაიკარგება ან დაზიანებულია, ისინი აღდგება შეძლებისდაგვარად.

9.5.

PD-ს შემცველი დოკუმენტების შენახვის ადგილები:

9.5.1.

ოპერატორის კლიენტების PD (კონტრაქტები, აქტები, ხელშეკრულებები, კითხვარები, პასპორტების ასლები, სხვა მსგავსი დოკუმენტები, რომლებიც შეიცავს ოპერატორის კლიენტების PD-ს, შენახვის მედია (ფლეშ ბარათები, CD და ა.შ.) ინახება ოპერატორის მთავარ და სარეზერვო ოფისებში. თაროებზე მოთავსებული და გასაღებით ჩაკეტილი პასუხისმგებელი პირი, რომელიც ახორციელებს კონტროლს, განისაზღვრება მენეჯერის ბრძანებით.

9.5.2.

ოპერატორის თანამშრომლების პერსონალური მონაცემები - დოკუმენტები, შესანახი საშუალებები (ფლეშ ბარათები, CD და ა.შ.) ინახება კომპანიის სეიფში და იკეტება გასაღებით. კონტროლის განმახორციელებელი პასუხისმგებელი პირი არის ოპერატორის უფროსი.

9.6.

დოკუმენტების განსახილველად გაცემა ხორციელდება სამსახურებრივი მოვალეობის შესრულების მიზნით შესაბამის ინფორმაციაზე დაშვებულ პირებზე არა უმეტეს ერთი სამუშაო დღის ვადით.

9.7.

სხვა შესანახი მედია შეიძლება ინახებოდეს ოპერატორის მთავარ და სარეზერვო ოფისებში, განთავსდეს თაროებზე და ჩაკეტილი იყოს გასაღებით, ან ორგანიზაციის სეიფში. პასუხისმგებელი პირი, რომელიც ახორციელებს კონტროლს სხვა ინფორმაციის მატარებლებზე, განისაზღვრება მენეჯერის ბრძანებით.

9.8.

პროგრამულ უზრუნველყოფასთან მუშაობისას ავტომატური სისტემაოპერატორს, რომელიც ახორციელებს PD-ის ნახვის და რედაქტირების ფუნქციებს, ეკრძალება დემონსტრირება ეკრანის ფორმებიასეთი მონაცემების შემცველი პირებისთვის, რომლებსაც არ აქვთ შესაბამისი ნებართვა.

9.9.

ოპერატორის თანამშრომლის მიერ PD-ის მიღებისას, რომელიც თავისი სამუშაო მოვალეობების შესაბამისად იღებს PD-ს კლიენტისგან ან სხვა პირის თანამშრომლისგან, უნდა შემოწმდეს PD-ის ნამდვილობა. ოპერატორის მიერ მიღებული PD-ის შეყვანა საინფორმაციო სისტემახორციელდება თანამშრომლების მიერ, რომლებსაც აქვთ წვდომა შესაბამის PD-ზე. ინფორმაციის შეყვანის თანამშრომლები პასუხისმგებელნი არიან შეყვანილი ინფორმაციის სიზუსტესა და სისრულეზე.

9.10.

ქაღალდზე მოთავსებული პერსონალური მონაცემების დამუშავების მახასიათებლები ავტომატიზაციის ხელსაწყოების გამოყენების გარეშე (პერსონალური კომპიუტერი არ გამოიყენება დოკუმენტების შედგენისას) დადგენილია რუსეთის ფედერაციის მთავრობის 2008 წლის 15 სექტემბრის N 687 დადგენილების შესაბამისად "დამტკიცების შესახებ". დებულება ავტომატიზაციის ხელსაწყოების გამოყენების გარეშე პერსონალური მონაცემების დამუშავების თავისებურებების შესახებ.

9.11.

სხვადასხვა კატეგორიის პერსონალური მონაცემების ხელით დამუშავებისას, პერსონალური მონაცემების თითოეული კატეგორიისთვის ცალკე მატერიალური საშუალება უნდა იქნას გამოყენებული.

9.12.

პერსონალური მონაცემების ქაღალდზე არაავტომატური დამუშავების შემთხვევაში:

9.12.1.

დაუშვებელია ერთ ქაღალდზე ჩაწერა PD, რომლის დამუშავების მიზნები აშკარად შეუთავსებელია;

9.12.2.

PD უნდა იყოს გამიჯნული სხვა ინფორმაციისგან, კერძოდ, მათი ჩაწერით ცალკეულ ქაღალდზე, სპეციალურ განყოფილებებში ან ფორმების (ფორმების) ველებში;

9.13.

დოკუმენტების სტანდარტული ფორმების გამოყენებისას, ინფორმაციის ბუნება, რომელშიც ვარაუდობენ ან საშუალებას იძლევა მათში PD-ის ჩართვა (შემდგომში სტანდარტული ფორმები), უნდა აკმაყოფილებდეს შემდეგი პირობები:

9.13.1.

სტანდარტული ფორმა ან მასთან დაკავშირებული დოკუმენტები (მისი შევსების ინსტრუქცია, ბარათები, რეესტრები და ჟურნალები) უნდა შეიცავდეს ინფორმაციას PD-ის არაავტომატური დამუშავების მიზნის შესახებ, ოპერატორის სახელს (სახელს) და მისამართს, გვარს, სახელს, პატრონიმიკას. და PD-ის სუბიექტის მისამართი, PD-ის მიღების წყარო, პერსონალური მონაცემების დამუშავების ვადები, პერსონალური მონაცემებით ქმედებების ჩამონათვალი, რომლებიც განხორციელდება მათი დამუშავების დროს, ოპერატორის მიერ გამოყენებული პერსონალური მონაცემების დამუშავების მეთოდების ზოგადი აღწერა. ;

9.13.2.

სტანდარტული ფორმა უნდა შეიცავდეს ველს, რომელშიც PD-ს სუბიექტს შეუძლია მიუთითოს თავისი თანხმობა PD-ის არაავტომატიზირებულ დამუშავებაზე, თუ საჭიროა წერილობითი თანხმობის მიღება PD დამუშავებაზე;

9.13.3.

სტანდარტული ფორმა ისე უნდა იყოს შედგენილი, რომ დოკუმენტში შემავალ თითოეულ PD სუბიექტს ჰქონდეს შესაძლებლობა გაეცნოს დოკუმენტში მოცემულ მათ PD-ს სხვა PD სუბიექტების უფლებებისა და კანონიერი ინტერესების დარღვევის გარეშე;

9.13.4.

სტანდარტული ფორმა უნდა გამოირიცხოს პერსონალური მონაცემების შეყვანისთვის განკუთვნილი ველების ერთობლიობა, რომელთა დამუშავების მიზნები აშკარად შეუთავსებელია.

9.14.

PD-ს შენახვა უნდა განხორციელდეს ისეთი ფორმით, რომელიც საშუალებას იძლევა იდენტიფიცირდეს PD-ს სუბიექტი, არა უმეტეს, ვიდრე ამას მოითხოვს PD-ს დამუშავების მიზნები, გარდა იმ შემთხვევისა, როდესაც PD-ს შენახვის ვადა დადგენილია ფედერალური კანონით, შეთანხმებით, რომლითაც PD-ს სუბიექტი არის დადგენილი. მხარე, ბენეფიციარი ან გარანტი.

9.15.

პერსონალური მონაცემების განადგურების, დაბლოკვისა და დაზუსტების შემთხვევები:

9.16.

პერსონალური მონაცემების ნაწილის განადგურება ან დეპერსონალიზაცია, თუ ეს ნებადართულია ხელშესახები საშუალების მიერ, შეიძლება განხორციელდეს ისე, რომ გამორიცხოს ამ პერსონალური მონაცემების შემდგომი დამუშავება, ხოლო ხელშესახებ მედიაზე ჩაწერილი სხვა მონაცემების დამუშავების შესაძლებლობის შენარჩუნებით (წაშლა, წაშლა).

9.17.

პერსონალური მონაცემების დაზუსტება ავტომატიზაციის ხელსაწყოების გამოყენების გარეშე მათი დამუშავებისას ხდება ხელშესახებ საშუალებებზე მონაცემების განახლებით ან შეცვლით, და თუ ეს დაუშვებელია. ტექნიკური მახასიათებლები მასალის გადამზიდავი- იმავე მატერიალურ მედიაზე ინფორმაციის ჩაწერით მათში განხორციელებული ცვლილებების შესახებ ან ახალი მასალის წარმოებით განახლებული PD.

9.18.

პერსონალური მონაცემების შემცველი მედიის განადგურება ხორციელდება შემდეგი თანმიმდევრობით:

9.18.1.

ქაღალდზე PD ნადგურდება ოპერატორის ოფისში დაყენებული დამქუცმაცებლების (დოკუმენტის დამქუცმაცები) გამოყენებით.

9.18.2.

კომპიუტერის მეხსიერებაში მდებარე PD განადგურებულია კომპიუტერის მეხსიერებიდან მისი წაშლით.

9.18.3.

ფლეშ ბარათზე, დისკზე ან სხვა შესანახ საშუალებებზე განთავსებული PD განადგურებულია მედიიდან ფაილის წაშლით, საჭიროების შემთხვევაში, ფლეშ ბარათის ან CD ფუნქციონირების დარღვევით.

9.19.

დგება ოქმი შესანახი საშუალების განადგურების შესახებ (ანგარიშების ფორმები იხილეთ დანართებში).

9.20.

ოფისი, ოპერატორის შენობა სამუშაო დღის ბოლოს და ოფისში თანამშრომლების არყოფნისას უნდა იყოს ჩაკეტილი, ფანჯრები დახურული, სიგნალიზაცია ჩართული უნდა იყოს (ასეთის არსებობის შემთხვევაში).

9.21.

ქსელის აღჭურვილობა და სერვერები უნდა განთავსდეს არაუფლებამოსილი პირებისთვის მიუწვდომელ ადგილებში (სპეციალურ ოთახებში, კაბინეტებში, ყუთებში).

9.22.

შენობების გაწმენდა და ISPD ტექნიკური აღჭურვილობის მოვლა უნდა განხორციელდეს ამ შენობებზე და ტექნიკურ საშუალებებზე პასუხისმგებელი პირების კონტროლის ქვეშ იმ ზომების დაცვით, რომლებიც გამორიცხავს არაავტორიზებული წვდომას PD-ზე, ინფორმაციის შესანახ მედიაზე, პროგრამულ უზრუნველყოფასა და აპარატურაზე ISPD-ის დამუშავების, გადაცემის და დაცვისთვის. ინფორმაცია.

9.23.

ISPDn ადმინისტრატორების პასუხისმგებლობა მოიცავს ISPDn მომხმარებლის ანგარიშების მართვას, ISPDn-ის რეგულარული ფუნქციონირების შენარჩუნებას, უზრუნველყოფას სარეზერვომონაცემები, ასევე ტექნიკის ინსტალაცია და კონფიგურაცია და პროგრამული უზრუნველყოფა ISPDn არ არის დაკავშირებული ISPDn-ში PD-ის უსაფრთხოების უზრუნველყოფასთან. ასევე, ISPD-ის ადმინისტრატორების პასუხისმგებლობა მოიცავს ISPD-ში PD-ის დამუშავებისა და უსაფრთხოების უზრუნველყოფის პროცედურის შესაბამისობის უზრუნველყოფას კონკრეტულ ISPD-ზე დაწესებული PD-ის კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის მოთხოვნებთან და ზოგადი მოთხოვნებიფედერალური კანონმდებლობით დადგენილი პერსონალური მონაცემების უსაფრთხოების შესახებ.

9.24.

ISPD ადმინისტრატორების პასუხისმგებლობა ასევე მოიცავს ტექნიკის და ინსტალაციას, კონფიგურაციას და ადმინისტრირებას. პროგრამული უზრუნველყოფა ISPD ინფორმაციის დაცვა, PD-ს მანქანური მედიის აღრიცხვა და შენახვა, უსაფრთხოების ჟურნალების პერიოდული აუდიტი და ISPD უსაფრთხოების ანალიზი, აგრეთვე მონაწილეობა PD-ს დამუშავებისა და უსაფრთხოების უზრუნველყოფის დადგენილი პროცედურის დარღვევის ოფიციალურ გამოძიებაში.

9.25.

უფლებამოსილების განაწილების უზრუნველსაყოფად, ორმხრივი კონტროლის განსახორციელებლად და პერსონალური მონაცემების უსაფრთხოებისთვის კრიტიკული უფლებამოსილების ერთ ადამიანში კონცენტრაციის თავიდან ასაცილებლად, არ არის რეკომენდებული ISPD მომხმარებლის და ISPD ადმინისტრატორის როლების გაერთიანება ერთი თანამშრომლის პიროვნებაში.

9.26.

საკვალიფიკაციო მოთხოვნები და ISPD-ის ადმინისტრატორების უფლება-მოვალეობების დეტალური ჩამონათვალი მოცემულია სამუშაოს შესაბამის აღწერილობაში, რომელსაც ამ თანამდებობებზე დანიშნული თანამშრომლები უნდა იცოდნენ ხელმოწერისთანავე.

9.27.

ოპერატორში PD დამუშავების პროცესის შიდა კონტროლის ორგანიზება ხორციელდება PD უსაფრთხოების ფაქტობრივი მდგომარეობის შესწავლისა და შეფასების, მათი დამუშავების დადგენილი პროცედურის დარღვევებზე დროული რეაგირების, აგრეთვე ამ პროცედურის გაუმჯობესების მიზნით. და უზრუნველყოს მისი შესაბამისობა.

9.28.

პერსონალური მონაცემების დამუშავებასა და უსაფრთხოებაზე შიდა კონტროლის განხორციელების ღონისძიებები მიზნად ისახავს შემდეგი ამოცანების გადაჭრას:

9.28.1.

ოპერატორის თანამშრომლების მიერ წინამდებარე რეგლამენტისა და პერსონალური მონაცემების ფარგლების მარეგულირებელი რეგულაციების მოთხოვნების დაცვის უზრუნველყოფა.

9.28.2.

პერსონალური მონაცემების დამუშავებაში ჩართული პერსონალის კომპეტენციის შეფასება.

9.28.3.

ISPD ტექნიკური საშუალებებისა და PD დაცვის საშუალებების ფუნქციონირებისა და ეფექტურობის უზრუნველყოფა, მათი შესაბამისობა უფლებამოსილი აღმასრულებელი ორგანოების მოთხოვნებთან PD უსაფრთხოების საკითხებზე.

9.28.4.

პერსონალური მონაცემების დამუშავების დადგენილი პროცედურის დარღვევის გამოვლენა და ამგვარი დარღვევების უარყოფითი შედეგების დროული პრევენცია.

9.28.5.

გამოვლენილი დარღვევების აღმოფხვრის მიზნით მაკორექტირებელი ღონისძიებების გატარება, როგორც PD-ს დამუშავების პროცედურაში, ასევე ISPD-ის ტექნიკური საშუალებების ექსპლუატაციაში.

9.28.7.

დარღვევების აღმოსაფხვრელად რეკომენდაციებისა და მითითებების შესრულებაზე შიდა კონტროლის განხორციელება.

9.29.

საკონტროლო საქმიანობის შედეგები დოკუმენტირებულია აქტებში და წარმოადგენს რეკომენდაციების შემუშავებას პერსონალური მონაცემების დამუშავებისა და უსაფრთხოების პროცედურების გასაუმჯობესებლად, საინფორმაციო სისტემების ტექნიკური საშუალებებისა და პერსონალური მონაცემების დაცვის საშუალებების მოდერნიზებისთვის, ტრენინგისა და გაუმჯობესებისთვის. პერსონალური მონაცემების დამუშავებაში ჩართული პერსონალის კომპეტენცია.

ოპერატორის თანამშრომლების პერსონალური მონაცემების მართვის მახასიათებლები

10.1.

ეს ნაწილი ადგენს ოპერატორისა და თანამშრომლების დამატებით უფლებებსა და მოვალეობებს ოპერატორის თანამშრომლების პერსონალური მონაცემების დამუშავებისას.

10.2.

დასაქმებულის პერსონალური მონაცემები არის ოპერატორის მიერ მოთხოვნილი ინფორმაცია შრომით ურთიერთობებთან და კონკრეტულ თანამშრომელთან დაკავშირებით.

10.3.

დასაქმებულის პერსონალური მონაცემების დამუშავება შეიძლება განხორციელდეს მხოლოდ კანონებისა და სხვა რეგულაციების დაცვის უზრუნველსაყოფად, თანამშრომლების დასაქმებაში, ტრენინგსა და დაწინაურებაში დახმარების გაწევაში, თანამშრომლების პირადი უსაფრთხოების უზრუნველსაყოფად, შესრულებული სამუშაოს რაოდენობისა და ხარისხის მონიტორინგისა და უზრუნველსაყოფად. ქონების უსაფრთხოება.

10.4.

ოპერატორს არ აქვს უფლება მიიღოს და დაამუშავოს თანამშრომლის პერსონალური მონაცემები საზოგადოებრივ გაერთიანებებში მისი წევრობის ან პროფკავშირული საქმიანობის შესახებ, გარდა ფედერალური კანონებით გათვალისწინებული შემთხვევებისა;

10.5.

თანამშრომლის ინტერესებზე მოქმედი გადაწყვეტილების მიღებისას ოპერატორს არ აქვს უფლება დაეყრდნოს თანამშრომლის პერსონალურ მონაცემებს, რომლებიც მიღებულ იქნა მხოლოდ მათი ავტომატური დამუშავების ან ელექტრონული მიღების შედეგად;

10.6.

თანამშრომლებმა არ უნდა უარი თქვან საიდუმლოების შენახვისა და დაცვის უფლებებზე;

10.7.

ოპერატორი იღებს ვალდებულებას არ გაამჟღავნოს თანამშრომლის პირადი ინფორმაცია კომერციული მიზნებისთვის მისი წერილობითი თანხმობის გარეშე;

10.8.

ოპერატორი იღებს ვალდებულებას გააფრთხილოს ოპერატორის თანამშრომლები და მესამე პირები, რომლებიც იღებენ თანამშრომლის პერსონალურ მონაცემებს (მისი თანხმობით), რომ ეს მონაცემები შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მიზნებისთვის, რისთვისაც იქნა გადაცემული და მოითხოვს ამ პირებს დაადასტურონ, რომ ეს წესი დაცულია. თანამშრომლის პერსონალური მონაცემების მიმღები პირები ვალდებულნი არიან დაიცვან საიდუმლოების რეჟიმი (კონფიდენციალობა). კონფიდენციალურობის რეჟიმი უზრუნველყოფილია პირთან ხელშეკრულების გაფორმებით (ამ რეგლამენტის დანართი). ეს დებულება არ ვრცელდება დასაქმებულთა პერსონალური მონაცემების გაცვლაზე რუსეთის ფედერაციის კანონმდებლობით დადგენილი წესით;

10.9.

თანამშრომლების პერსონალურ მონაცემებზე წვდომა ხორციელდება ოპერატორის მიერ დამტკიცებული ბრძანებებისა და დებულებების საფუძველზე.

10.10.

ოპერატორი იღებს ვალდებულებას არ მოითხოვოს ინფორმაცია თანამშრომლის ჯანმრთელობის მდგომარეობის შესახებ, გარდა იმ ინფორმაციისა, რომელიც ეხება თანამშრომლის სამსახურებრივი ფუნქციის შესრულების შესაძლებლობის საკითხს;

10.11.

ოპერატორი იღებს ვალდებულებას გადასცეს თანამშრომლის PD თანამშრომლის წარმომადგენლებს რუსეთის ფედერაციის კანონმდებლობით დადგენილი წესით და შემოიფარგლოს ეს ინფორმაცია მხოლოდ იმ თანამშრომლის PD-ით, რომლებიც აუცილებელია აღნიშნული წარმომადგენლებისთვის მათი ფუნქციების შესასრულებლად.

10.12.

დასაქმებულს უფლება აქვს განსაზღვროს თავისი წარმომადგენლები მისი პერსონალური მონაცემების დასაცავად.

პასუხისმგებლობა ამ დებულების დარღვევისთვის

11.1.

ოპერატორის მენეჯმენტი პასუხისმგებელია პერსონალური მონაცემების კონფიდენციალურობის უზრუნველსაყოფად და პერსონალური მონაცემების სუბიექტების უფლებებისა და თავისუფლებების შეუსრულებლობაზე მათ პერსონალურ მონაცემებთან დაკავშირებით, მათ შორის კონფიდენციალურობის, პირადი და ოჯახური საიდუმლოების უფლებებზე.

11.4.

PD-ის დამუშავებისა და უსაფრთხოების უზრუნველყოფის დადგენილი პროცედურის დარღვევის, PD-ზე უნებართვო წვდომის, PD-ის გამჟღავნების და ოპერატორის, მისი თანამშრომლების, კლიენტების და კონტრაგენტებისთვის მატერიალური ან სხვა ზიანის მიყენების შემთხვევაში, დამნაშავეები ეკისრებათ სამოქალაქო, სისხლის სამართლის, ადმინისტრაციულ რუსეთის ფედერაციის კანონმდებლობით გათვალისწინებული დისციპლინური და სხვა პასუხისმგებლობა.

ხორციელდება კანონებისა და სხვა რეგულაციების დაცვის საფუძველზე.

რა არის პერსონალური მონაცემების დამუშავება? ეს პროცესი მოიცავს შემდეგ ნაბიჯებს:

პერსონალურ მონაცემებთან მუშაობის სამართლებრივი რეგულირება მოიცავს მათთან მუშაობის ყველა პროცესს და ეტაპს.

სამიზნე

რატომ არის საჭირო პერსონალური მონაცემების დამუშავება? დასაქმებულის პერსონალური მონაცემების დამუშავება ხორციელდება საწარმოში ან ორგანიზაციაში მისი ხელშეწყობის მიზნით.

პერსონალური მონაცემების დამუშავების ძირითადი მიზნები:

• სამსახურის მიღებაში;
• საგანმანათლებლო დაწესებულებაში მოთავსებისას ან მომზადებისთვის, კვალიფიკაციის ასამაღლებლად;
• შრომის დაცვის მიზნით;
• დაწინაურებისა და კარიერული შესაძლებლობების კონტროლისთვის;
• შესრულებული სამუშაოს რაოდენობისა და ხარისხის მონიტორინგი.

კანონმდებლობა ითვალისწინებს თანამშრომლის პერსონალური მონაცემების დაგროვებას და გადაცემას მხოლოდ მისი განვითარებისა და მისი შესაძლებლობებისა და გამოცდილების სათანადო გამოყენების მიზნით. , მოიცავს მრავალფუნქციურ მიზნებს.

თანამშრომლების პერსონალური მონაცემების დამუშავების მიზნები მოიცავს პერსონალური მონაცემების გამოყენებას და დამუშავებას მათი სინთეზისა და ურთიერთდაკავშირების გზით, რაც განსაზღვრავს თანამშრომლის შესაძლებლობების შესაბამისობას წარმოების პროცესის ორგანიზების პირობებში.

პერსონალური მონაცემების დამუშავების დასახული და გაცხადებული მიზნები არ შეიძლება შეიცვალოს თანამშრომლის შეტყობინების გარეშე.

ვის მიერ განხორციელდა?

პერსონალური მონაცემები ნიშნავს ინფორმაციას, რომელიც შეიცავს საბაზისო ინფორმაციას მთავრობისა და სხვა სამსახურების წარმომადგენელთა გარკვეული წრის დაინტერესებული პირის შესახებ.

კერძოდ, წარმოებაში (ორგანიზაციაში) პერსონალური მონაცემები აინტერესებს დამსაქმებელს, რომელიც მართავს წარმოებაში მუშაობის ორგანიზებას მისი თანამშრომლების შესახებ ინფორმაციის საფუძველზე.

დამსაქმებელს უფლება აქვს მოითხოვოს ნებისმიერი პერსონალური მონაცემი, რომელიც ხელმისაწვდომია მასში ანგარიშებითანამშრომლის შესახებ. მის გარდა, პერსონალურ მონაცემებზე წვდომას აქვს პირთა შეზღუდული წრე, რომელიც ახორციელებს ოპერატიული მუშაობა. როგორც წესი, ესენი არიან სამდივნოსა და პერსონალის განყოფილების თანამშრომლები.

ოპერატორი, რომელიც ახორციელებს საინფორმაციო საქმიანობას პერსონალური მონაცემებით, გადის მითითებებს დანიშნული სამუშაოს დაწყებამდე. ის ეცნობა პერსონალურ მონაცემებში არსებული ინფორმაციის გამჟღავნების აკრძალვის ოპერაციულ წესებსა და პრინციპებს.

ჩამოთვლილი ტიპის სამუშაოების განხორციელება შეიძლება ემსახურებოდეს მხოლოდ იმ მიზნებს, რომლებიც ინფორმაციის შეგროვების მიზეზი იყო. პერსონალური მონაცემების ბოროტად გამოყენება ან მათი გამჟღავნება ითვლება უხეში დარღვევად, რისთვისაც დაკისრებულია პასუხისმგებლობა.

დარღვევები

როგორც ადრე განვიხილეთ, პერსონალური მონაცემების დამუშავების დარღვევა განიხილება:

ოპერატორის პერსონალურ მონაცემებთან მუშაობა ექვემდებარება მკაცრ კონტროლს ავტორიზებული სერვისების მიერ და ოპერატორი პასუხს აგებს ხარვეზებზე, უნებლიე ან მიზანმიმართულ დარღვევებზე.

პერსონალური მონაცემების დამუშავების დროს ყველა არაავტორიზებული ქმედება შეიძლება გამოიწვიოს სასჯელი: დისციპლინური, ადმინისტრაციული და ზოგ შემთხვევაში სისხლისსამართლებრივი.