노동법에 따라 개인정보를 처리하는 목적. 개인 데이터 처리 목적 및 처리 방법 결정

집 / 노트북

이 정보는 수집, 기록, 체계화, 축적, 저장, 명확화, 추출, 사용, 전송, 개인화, 차단, 삭제, 파기 등 주체의 개인 데이터에 대한 모든 작업 또는 작업을 의미합니다.

주제에 대한 정보를 수집하고 분석에 동의하는 이유는 무엇입니까?

고객/환자를 위한

시민의 건강 상태에 관한 정보는 개인 데이터의 특별한 범주에 속합니다. 2부, 4항, 예술. 10 연방법 No. 152에 따라 이러한 정보의 처리는 다음 목적으로 수행되는 경우 주체의 동의 없이 허용됩니다.

진단 확립;
질병 예방;
의료 및 의료-사회 서비스 제공.

이 규칙은 러시아 연방 법률에 따라 의료 기밀을 유지할 의무가 있는 전문 의사가 처리를 수행하는 상황에 유효합니다.

다만, 동의를 얻을 수 없는 경우는 예외로 합니다.그러나 환자의 생명이나 건강을 보호하기 위해 필요한 경우입니다.

개인이 서비스를 사용하는 경우(계약 체결, 대출 신청), 즉 고객인 경우 해당 개인 정보도 연방법 152호에 따라 처리될 수 있습니다.

클라이언트 데이터는 다음 용도로 사용될 수 있습니다.

컨설팅, 정보 및 중개 서비스를 제공합니다.
고객과의 계약 체결 및 실행.
HR 및 회계 서비스를 수행합니다.
러시아 연방 법률에 의해 금지되지 않은 기타 거래.

조직의 직원의 경우

고용주는 직원에 대한 권리를 가지며 이는 Art에 명시되어 있습니다. 22 연방법 제152호. 조직에서 개인 데이터를 처리하는 목적:

러시아 연방 법률 및 기업 헌장에 따라 시민과의 민사 계약 등록.
인사 기록, 법률 준수, 고용 및 민법 계약에 따른 의무 등록.
취업, 교육 또는 승진, 등록 및 혜택 이용에 대한 지원.
직원의 개인 안전과 재산의 안전을 보장합니다.
연금 보험에 대한 기여금을 계산할 때 세금 및 연금 법률 요구 사항을 준수합니다.
노동법, 세법 및 연방법에 따른 통계 작성.
직원이 수행한 작업을 모니터링합니다.

(2001년 12월 30일자 No. 197-FZ "러시아 노동법" 제86조). "특수"로 분류된 직원의 개인정보는 고용주가 처리할 수 없습니다.

개인 데이터 처리에 대한 동의의 유효 기간은 특정 날짜 또는 사건(예: 직원의 동의 철회)으로 설정되어야 합니다.

예

은행 부문

은행 "금융" 고객의 개인 데이터를 처리하는 목적은 은행 업무 및 기타 업무를 수행하는 것입니다.포함:

은행 계좌 개설 및 유지.
은행 계좌로 자금 이체.
은행 계좌를 개설하지 않고 개인(개인 및 법인)으로부터 자금을 이체합니다.
외화 구매 및 판매.
이메일 주소를 포함한 컨설팅 및 정보 서비스 제공.

의료단체

의료 기관 "건강". 처리 목적:

의료 조직.
우선 처방전을 발행합니다.
의무 의료 보험 및 임의 의료 보험 시스템에 따른 청구서 지불.
통계 및 연구 업무에 사용합니다.
테스트 결과, 진행 중인 프로모션, 전문가의 작업 일정을 SMS 알림으로 알려줍니다.

결론

클라이언트나 환자의 경우 모든 것이 언뜻 보이는 것처럼 단순하지는 않습니다.마찬가지로, 동의나 경고 없이는 제3자에게 양도하거나, 주체가 동의하지 않는 목적으로 사용할 수 없습니다. 자신의 개인 데이터가 유출되었다는 사실을 직면한 경우 언제든지 Roskomnadzor 또는 법원에 문의할 수 있습니다.

질문에 대한 답변을 찾지 못하셨나요? 알아내다 문제를 정확히 해결하는 방법 - 지금 바로 전화하세요.

2017년 7월 1일, 2017년 2월 7일자 연방법 No. 13-FZ가 발효되어 Art. 행정 위반법 13.11은 불법 활동에 대한 행정 책임을 부과하고 벌금을 크게 인상하는 근거 목록을 확장합니다.

2006년 7월 27일 연방법 No. 152-FZ의 요구 사항을 준수하기 위해 개인 데이터 운영자가 준비해야 하는 필수 문서 중 하나는 개인 데이터 처리에 관한 정책으로 회사의 운영 방식을 설명합니다. 직원, 고객 및 기타 개인의 데이터. 이 파일은 어떤 형태로든 개인 데이터를 수집하는 거의 모든 사이트에서 무료로 사용할 수 있습니다.

개인 데이터 처리 정책을 올바르게 작성하는 방법은 무엇입니까? 어떤 섹션을 포함해야 합니까? Roskomnadzor는 이러한 문제에 대한 설명을 제공합니다.

개인정보 처리방침의 구조

일반 조항
개인정보 수집 목적
개인 데이터 처리에 대한 법적 근거
처리하는 개인정보의 규모 및 범주, 개인정보주체의 범주
개인정보 처리 절차 및 조건
개인정보의 갱신, 정정, 삭제, 파기, 개인정보에 대한 정보주체의 열람요구에 대한 대응

1. 일반 목표

이 섹션에서는 실제로 개인 데이터 처리 정책의 목적이 무엇입니까?라는 질문에 답하게 됩니다. 또한 문서에 사용된 기본 개념, 운영자의 권리와 의무, 개인정보 주체에 대해 설명합니다.

2. 개인정보 수집 목적

미술. 2006년 7월 27일자 연방법 No. 152-FZ 5조는 데이터 수집에 대한 구체적이고 합법적인 목적을 결정하도록 요구합니다. 따라서, 이러한 목적에 부합하지 않는 개인정보는 처리가 불가능합니다.

Roskomnadzor는 개인 데이터 처리 목적에 다음이 포함될 수 있음을 나타냅니다.

운영자의 활동을 규제하는 법적 행위 분석을 통해;
운영자가 실제로 수행하는 활동의 목적;
운영자의 구성 문서에 의해 제공된 활동에서;
개인 데이터의 특정 정보 시스템에서 운영자의 특정 비즈니스 프로세스(특정 개인 데이터 주체 범주와 관련된 운영자의 구조적 구분 및 절차 기준).

3. 개인정보 처리에 대한 법적 근거

2006년 7월 27일자 연방법 No. 152-FZ는 개인 데이터 처리에 대한 법적 근거가 아닙니다. 이 역할은 운영자가 데이터를 처리하는 데 따른 법적 행위에 의해 수행됩니다.

따라서 데이터 처리 정책에는 다음과 같은 법적 근거가 명시될 수 있습니다. 운영자의 활동과 관련된 관계를 규율하는 연방법 및 규정; 운영자의 법정 문서; 운영자와 개인 데이터 주체 간에 체결된 계약; 개인 데이터 처리에 대한 동의(법률에 의해 명시적으로 규정되지 않은 경우) 러시아 연방, 그러나 운영자의 권한에 해당함).

4. 처리하는 개인정보의 규모 및 종류, 개인정보주체의 종류

처리되는 개인정보의 양이 명시된 처리 목적을 벗어나지 않는 것이 중요합니다.

개인정보 주체의 범주에는 직원(현직 및 전직), 공석 후보자, 직원의 친척, 고객 및 상대방(개인), 고객 및 상대방의 대표 또는 직원이 포함될 수 있습니다.

Roskomnadzor는 각 주제 범주 및 특정 목적과 관련하여 처리되는 모든 개인 데이터가 표시되어야 한다는 사실에 주목합니다. 특수 범주의 개인 데이터 및 생체 인식 개인 데이터(해당되는 경우) 처리에 대한 모든 사례는 별도로 설명됩니다.

5. 개인정보 처리 절차 및 조건

이 섹션에 명시된 내용은 다음과 같습니다.

개인 데이터로 수행되는 작업 목록
개인 데이터 처리 방법;
개인 데이터 처리 조건.

개인 데이터 처리 목표를 달성하기 위해 운영자가 제3자와 상호 작용하는 경우 다음을 수행해야 합니다.

개인 데이터를 제3자에게 전송하는 조건을 설명합니다(국경 간 데이터 전송 포함).
제3자의 이름과 위치를 표시합니다.
데이터 전송 목적과 그 양을 나타냅니다.
처리된 개인 데이터 보호를 위한 요구 사항을 포함하여 처리 조치, 방법 및 기타 처리 조건을 나열합니다.

운영자는 법률에 규정된 근거에 따라 문의 및 조사 기관은 물론 기타 승인된 기관에 개인 데이터를 전송할 권리가 있습니다.

개인 데이터 처리 정책에는 개인 데이터의 기밀 유지 요구 사항(2006년 7월 27일자 연방법 No. 152-FZ 제7조에 명시되어 있음) 준수에 대한 정보와 조치를 취하는 방법에 대한 정보(18.1조 2부)가 포함되어야 합니다. , 예술 19의 1부).

또한, 운영자는 개인정보 처리 종료 조건을 명시해야 합니다. 이는 처리 목표 달성, 처리 동의 만료, 개인 데이터 처리 주체의 동의 철회, 불법적인 데이터 처리 식별 등이 될 수 있습니다.

개인 데이터 저장과 같은 문제에 특별한 주의를 기울여야 합니다. 첫째, 마감일을 언급해야합니다. 둘째, 러시아 연방 영토에 위치한 데이터베이스가 사용됩니다. 셋째, 처리 목적에 필요한 기간보다 더 이상 개인정보의 주체를 식별할 수 있는 형식으로 저장이 수행되어야 한다는 사실이 고려됩니다. 넷째, 자동화 도구를 사용하지 않고 데이터를 처리하는 경우를 포함하여 기타 저장 조건을 언급할 필요가 있습니다.

6. 개인정보의 갱신, 정정, 삭제, 파기, 개인정보 열람에 관한 주체의 요구에 대한 대응

예술에 따르면. 21 No. 152-FZ, 개인 데이터의 부정확성 사실이 확인되면 운영자가 개인 데이터를 업데이트해야 합니다. 처리의 불법성을 확인하는 경우에도 동일하게 적용됩니다.

개인 데이터는 처리 목적이 달성되고 개인 데이터 주체가 처리에 대한 동의를 철회하는 경우 파기될 수 있습니다. 단, 개인 데이터 주체가 당사자, 수혜자 또는 당사자인 계약에 의해 달리 규정되지 않는 한, 보증인; 그렇지 않은 경우에는 운영자와 개인 데이터 주체 간의 다른 계약에 규정되지 않습니다. 운영자는 2006년 7월 27일자 연방법 No. 152-FZ 또는 기타 연방법에 규정된 근거에 따라 개인 데이터 주체의 동의 없이 처리할 권리가 없습니다.

예술을 기반으로합니다. 20 운영자는 요청 시 자신이 수행한 개인 데이터 처리에 대해 개인 데이터 정보 주체에게 알릴 의무가 있습니다.

Roskomnadzor는 데이터의 부정확성, 처리의 불법성, 동의 철회 및 데이터 액세스와 관련하여 개인 데이터 주체, 그 대리인 및 승인된 기관의 요청 및 항소에 응답하기 위해 개인 데이터 처리 정책 규정을 포함할 것을 권장합니다. 정책에 적절한 형태의 요청 및 항소를 추가하는 것이 좋습니다.

개인정보 처리방침을 사무실 및 홈페이지에 게시

회사에서 데이터를 처리하는 모든 사람은 개인 데이터 처리 정책을 숙지할 권리가 있습니다. 따라서 공개적으로 접근 가능한 장소에 게시되어야 합니다. 예를 들어 정보 스탠드를 사용하십시오.

회사가 인터넷을 통해 개인정보를 수집하는 경우 해당 웹사이트에 정책을 게시할 의무가 있습니다. 사이트 방문자는 링크를 클릭하여 볼 수 있습니다.

비즈니스에 영향을 미치는 가장 중요한 변화에 대해 알아보려면 다음 채널에 가입하세요.

회사는 직원, 고객 및 계약자로부터 개인 정보를 얻지 않고는 할 수 없습니다. 이름, 주소 및 기타 정보가 필요합니다. 그러나 회사는 특정 목적을 위해서만 개인정보를 처리할 권리가 있습니다. 데이터를 다른 방식으로 사용하는 것은 위반이며 행정 조치를 받게 됩니다.

정보를 요청하는 목적은 법률 및 회사의 필요와 일치해야 합니다.

기업은 사업을 수행하는 과정에서 보호해야 할 정보를 다룹니다. 기밀 정보에는 기술, 프로젝트, 개발, 거래 세부 사항 등에 관한 정보가 포함됩니다. 또한 법은 회사에서 일하는 사람, 회사의 고객이거나 상대방을 대표하는 사람에 대한 정보 보호를 요구합니다. “개인정보에 관한” 규정은 사생활을 보호한다는 헌법상의 원칙(법률 제152조 제2조)에 따라 시행됩니다. 법의 요구 사항은 주체로부터 데이터를 수신하는 모든 조직에 적용됩니다(법률 제152조 1조).

개인 데이터 처리를 시작하는 회사는 특정 목적에 대해서만 개인 데이터를 요청할 권리가 있습니다(법률 제152조 제5조 2항). 또한 데이터의 양은 목표에 따라 다릅니다. 회사가 필요하지 않은 정보는 요청할 수 없습니다(법률 제152조 제5조 제4항 및 제5항). 예를 들어, 온라인 상점은 구매자에게 여권 데이터를 요구하거나 고객이 자체 픽업으로 상품을 픽업하는 경우 우편 주소를 표시하도록 요청할 권리가 없습니다.

회사는 고객 및 직원의 개인정보 처리 목적을 자체적으로 결정합니다.

정확히 어떤 정보가 필요한지는 회사에서 결정합니다(법률 제152호 제3조 2항). 일반적으로 조직은 다음과 같은 목적으로 고객, 계약자 및 직원의 개인 데이터를 요청합니다.

계약 체결. 이는 회사의 서비스 또는 상품 소비자, 다른 유형의 고객, 비즈니스 파트너, 고용 계약 등과의 계약일 수 있습니다. 회사가 서명하려는 모든 계약에는 개인 데이터가 필요합니다. 그 이익, 대리인, 상대방 또는 상대방 자체(개인인 경우). 회사가 의무를 이행하려면 데이터를 포함하는 것이 필요합니다.
인사에 관한 정보의 체계화, 인사 기록 유지 및 사무 업무. 직원 데이터는 고용 계약 체결뿐만 아니라 고용 관계 틀 내의 기타 모든 거래에도 필요합니다.
예산, 보험료 등에 대한 세금 공제에 관한 법률 요구 사항을 준수합니다. 회사는 직원으로부터 개인 소득세 기여금을 원천 징수하고 해당 금액을 주, 연금 기금 및 기타 조직에 이체합니다 (법 제 22 조) . 152, 러시아 노동법 제 86 조).
통계의 형성. 이를 위해 데이터는 익명화되어야 합니다(법 제152조 제6조 9항, 1부).

손님, 만나보세요-!

회사는 개인정보주체에게 처리 목적에 대해 경고할 의무가 있습니다.

회사는 처리를 위해 개인 데이터를 요청하는 목적을 직원이나 고객에게 알릴 의무가 있습니다(법 제152조 제9조 4항, 4부). 이는 정보 제공에 대한 동의를 얻는 과정의 일부로 수행됩니다. 목표 목록은 다음과 같아야 합니다.

포괄적이고 구체적이어야 합니다.
헌장의 조항과 조직의 현지 행위를 준수합니다.
회사가 실제로 추구하는 목표와 일치합니다.

예를 들어, 은행이 고객에게 정보를 요청합니다. 처리 목적은 다음을 포함하여 계정에 서비스를 제공하는 것입니다.

계좌 개설,
계정 유지,
계좌에서 자금을 이체하는 작업,
클라이언트 상담.

정보의 또 다른 예는 회사 정책에 직원의 개인 데이터 처리 목적을 나열하는 것입니다. 조직은 해당 정보가 다음과 같이 사용되도록 규정합니다.

지원자의 이력서를 작업할 때;
고용 계약에 따른 회사의 의무를 이행하기 위해
노동, 세금 및 연금법을 준수합니다.
직원 교육을 조직하고 전문적 수준을 향상시킵니다.
임금을 계산하고 발생시킬 때;
직원 업무의 질을 통제합니다.
각종 보증 및 혜택 등을 제공하는 경우

처리에 대한 동의는 거의 모든 경우에 데이터 주체로부터 얻어야 합니다. 수집 목적이 회사를 시장에 홍보하거나 정치적 선전을 위한 것인 경우, 운영자는 해당 개인이 동의했음을 입증할 의무가 있습니다(법률 제152호 제15조 1항). 그렇지 않으면 요청되지 않은 것으로 간주됩니다.

직원 또는 고객과의 합의 외에도 데이터 획득 목적은 해당 데이터 작업에 대한 회사 정책인 특별 문서에 반영되어야 합니다. 이는 공개 문서여야 합니다. 일반적으로 조직 웹 사이트의 특별 섹션에 게시됩니다.

전문적인 도움말 시스템변호사의 경우 가장 복잡한 질문에 대한 답을 찾을 수 있습니다.

개인 데이터 처리 및 보호에 관한 규정은 기업 직원에 관한 정보가 포함된 정보를 수집, 축적, 저장, 사용, 삭제하는 등의 절차를 규정합니다. 문서에는 PD를 제3자에게 양도하는 절차, 자동화 및 비자동화된 PD 처리 기능, PD 액세스 절차, 내부 통제 구성 절차, PD 처리 중 위반에 대한 책임이 설명되어 있어야 합니다.

개인 데이터 처리 및 보호에 관한 규정을 작성하는 방법

이 문서는 개인 데이터에 관한 러시아 연방 법률과 PD 정보 시스템에서 처리될 때 PD 보안 문제에 관한 국가 권력 집행 기관의 규제 및 방법론 문서에 따라 개발되고 있습니다.

개인 데이터 보호 규정은 일반적으로 11개 섹션으로 구성됩니다.

일반 조항.
PD 처리의 목표와 목적.
ISPD에서 처리되는 개인정보(성명, 생년월일, 연락 전화번호, 등록 주소, 실제 거주지 주소).
PD에 접근할 수 있습니다.
개인 데이터 보호를 위한 기본 요구 사항.
PD 처리에 동의합니다.
운영자가 처리하는 개인정보와 관련한 정보주체의 권리.
ISPDn 운영자의 권리와 의무.
개인 데이터 처리 및 보호 절차.
운영자 직원의 개인 데이터 처리 특성.
이 조항 위반에 대한 책임.

개인 데이터의 처리 및 보호에 관한 조항은 자동화 도구를 사용하여 수행되는 개인 데이터의 수집, 체계화, 축적, 저장, 명확화, 사용, 배포(전송 포함), 개인화, 차단, 파기의 모든 프로세스에 적용됩니다. 사용.

개인정보의 대상

PD 주제는 다음과 같습니다.

운영자 직원.
취업 후보자.
클라이언트(운영자 서비스 소비자).
개별 기업가는 운영자의 상대방입니다.
조직의 고객, 운영자의 상대방(기업 고객에게 서비스 제공).
운영자가 개인정보를 처리하는 기타 개인.

개인 데이터 처리 및 보호에 관한 규정은 승인된 순간부터 발효되며 새로운 규정으로 대체될 때까지 무기한 유효합니다. 조직의 모든 직원은 서명을 위해 이 문서를 숙지해야 합니다.



(운영자의 이름)


"승인됨"
개인 기업가
(직위)	(개인 서명)	(성명)
№

개인정보 처리 및 보호에 관한 규정

일반 조항

1.1.

본 규정은 개인 데이터(이하 PD라고 함)에 관한 러시아 연방 법률과 PD 정보 시스템(이하 PD라고 함)에서 처리될 때 PD 보안 문제에 관한 국가 권력 집행 기관의 규제 및 방법론 문서에 따라 개발되었습니다. PDIS로).

1.2.

본 규정의 목적상 다음 용어가 사용됩니다.

개인 데이터(PD) - 직접 또는 간접적으로 결정되거나 결정된 것과 관련된 모든 정보 개인에게(개인 데이터 주제에 대해)

운영자 - 독립적으로 또는 다른 사람과 공동으로 개인 데이터 처리를 구성 및/또는 수행할 뿐만 아니라 개인 데이터 처리 목적, 개인 정보 구성을 결정하는 국가 기관, 지방 자치 단체, 법인 또는 개인입니다. 처리할 데이터, 개인 데이터로 수행되는 작업(운영)

PD 처리 - 수집, 기록, 체계화, 축적, 저장, 설명(업데이트, 변경), 추출, 사용을 포함하여 자동화 도구를 사용하거나 PD와 함께 해당 도구를 사용하지 않고 수행되는 모든 작업(작업) 또는 일련의 작업(작업) , 개인 데이터의 전송(배포, 제공, 액세스), 개인화, 차단, 삭제, 파기

개인 데이터의 자동화된 처리 - 컴퓨터 기술을 사용한 개인 데이터 처리

개인 데이터 배포 - 개인 데이터를 무제한의 사람에게 공개하기 위한 조치

PD 제공 - 특정 개인 또는 특정 집단에 PD를 공개하기 위한 조치

PD 차단 - PD 처리를 일시적으로 중단합니다(PD를 명확히 하기 위해 처리가 필요한 경우는 제외).

PD 파기 - ISPD에서 PD의 내용을 복원하는 것이 불가능해지거나 PD의 물질적 매체가 파기되는 행위

개인 데이터의 개인화 - 사용 없이는 불가능해지는 조치 추가 정보 PD가 특정 PD 대상에 속하는지 여부를 결정합니다.

개인 데이터 정보 시스템(PDIS) - 데이터베이스에 포함되어 처리를 보장하는 개인 데이터 세트 정보 기술그리고 기술적 수단;

개인 데이터의 국경 간 전송 - 개인 데이터를 외국 영토로 외국 당국, 외국 개인 또는 외국 법인으로 전송합니다.

1.3.

본 규정은 PD를 제3자에게 양도하는 절차, 자동화 및 비자동화된 PD 처리의 특징, PD에 액세스하는 절차, PD를 포함하여(이하 운영자)에서 PD 처리를 위한 절차 및 조건을 결정합니다. 보호 시스템, PD 처리 중 위반에 대한 내부 통제 및 책임 구성 절차, 기타 질문.

1.4.

본 규정은 자동화 도구를 사용하거나 사용하지 않고 수행되는 개인 데이터의 수집, 체계화, 축적, 저장, 명확화, 사용, 배포(전송 포함), 개인화, 차단, 파기의 모든 프로세스에 적용됩니다.

1.5.

본 규정은 운영자가 승인한 순간부터 발효되며 새로운 규정으로 대체될 때까지 무기한 유효합니다.

1.6.

규정의 모든 변경은 주문에 의해 이루어집니다.

1.7.

운영자의 모든 직원은 서명 시 본 규정을 숙지해야 합니다.

PD 처리의 목표와 목표

2.1.

개인 데이터 처리는 구체적이고 사전 정의된 합법적인 목적을 달성하는 것으로 제한되어야 합니다. 개인정보 수집 목적에 부합하지 않는 개인정보 처리는 허용되지 않습니다.

2.2.

서로 호환되지 않는 목적으로 처리되는 개인 데이터가 포함된 데이터베이스를 결합하는 것은 허용되지 않습니다.

2.3.

처리 목적을 충족하는 개인 데이터만 처리 대상이 됩니다.

2.4.

2.5.

운영자 직원의 개인 데이터 처리는 법률 및 기타 규정 준수를 보장하고, 직원의 고용, 교육 및 승진 지원, 직원의 개인 안전 보장, 수행된 작업의 양과 질을 모니터링하는 목적으로만 수행될 수 있습니다. 운영자 재산의 안전을 보장합니다.

2.6.

PD 처리의 주요 목적은 다음과 같습니다.

개인 데이터 처리의 추가 목적은 다음과 같습니다.

2.7.

ISPDn은 다음 작업에 대한 솔루션을 제공합니다.

ISPDn에서 처리되는 개인정보

3.1.

ISPD는 다음의 개인정보주체의 개인정보를 처리하고 있습니다.

3.1.1.

운영자의 직원;

3.1.2.

클라이언트(운영자의 서비스 소비자)

3.1.3.

개인 기업가 - 운영자의 상대방;

3.1.4.

조직의 고객, 운영자의 상대방(기업 고객에게 서비스 제공)

3.2.

이 목록은 필요에 따라 수정될 수 있습니다.

3.3.

PD 주체의 개인 데이터에는 다음이 포함됩니다.

3.4.

처리된 개인 데이터의 전체 목록은 운영자 정보 시스템의 보호 대상 개인 데이터 목록에 구성되어 있습니다.

개인 데이터에 대한 접근

4.1.

공무상 지속적으로 개인정보를 처리하는 운영자의 직원은 개인정보 처리 권한이 부여된 사람 목록에 따라 각자의 공무 수행 기간 동안 필요한 개인정보 범주에 접근할 수 있습니다. 이는 운영자의 머리가 승인한 것입니다. 목록은 개념을 기반으로 작성되었습니다. 정보 보안및 정보 보안 정책.

4.2.

정보 시스템의 개인 데이터에 접근할 수 있는 사람의 목록은 최신 상태로 유지되어야 합니다.

4.3.

운영자는 개인 데이터에 대한 접근을 허용하는 절차를 마련했습니다. 운영자의 직원은 관리자의 결정에 따라 공무를 수행하는 데 필요한 정도까지만 개인 데이터 작업에 대한 액세스 권한을 제공받습니다.

4.4.

공식적인 필요로 인해 개인 데이터 작업에 대한 임시 또는 일회성 허가는 관리자의 승인을 받아 운영자 직원이 얻을 수 있습니다.

4.5.

PD 주체의 동의 없이 운영자의 직원이 아닌 제3자의 PD 접근은 금지됩니다. 단, 법률 이행을 통제 및 감독하기 위한 조치의 일환으로 수행되는 행정 기관 직원의 접근은 제외됩니다. 관련 정부 기관의 기능과 권한을 이행합니다. 정부 기관의 요청 또는 요청에 따른 정보 제공은 운영자의 장의 지식을 바탕으로 수행됩니다.

4.6.

제3자 조직의 직원이 운영자의 PD에 접근해야 하는 경우, 제3자 조직과의 계약에 PD 기밀 유지 조건과 제3자 조직 및 그 직원이 준수해야 할 의무를 명시해야 합니다. PD 보호 분야의 현행법 요구 사항. 또한, 운영자의 직원이 아닌 자가 개인정보에 접근하는 경우, 개인정보를 제3자에게 제공하기 위해서는 개인정보주체의 동의를 받아야 합니다. 운영자가 PD주체와 체결한 민사계약의 이행을 목적으로 PD가 제공되는 경우에는 별도의 동의가 필요하지 않습니다.

4.7.

운영자 직원의 개인 데이터에 대한 접근은 고용 관계가 종료된 날짜, 직원의 직무 변경 날짜 및/또는 개인 데이터에 접근할 수 있는 사람 목록에서 해당 직원이 제외된 날짜부터 종료됩니다. 해고의 경우, PD가 포함된 모든 미디어는 다음 규정에 따라 처리됩니다. 직무근무 중에 직원이 처분할 수 있었던 경우 해당 담당자에게 전달해야 합니다.

개인정보 보호를 위한 기본 요구사항

5.1.

정보시스템에서 개인정보를 처리할 때 다음 사항을 보장해야 합니다.

a) 개인 데이터에 대한 무단 접근 및/또는 그러한 정보에 접근할 권리가 없는 사람에게의 전송을 방지하기 위한 조치를 수행합니다.

b) 개인 데이터에 대한 무단 접근 사실을 적시에 탐지합니다.

c) 개인 데이터의 자동화된 처리를 위한 기술적 수단에 대한 영향을 방지하여 그 결과 해당 데이터의 기능이 중단될 수 있습니다.

d) 무단 접근으로 인해 수정되거나 파괴된 개인 데이터를 즉시 복원할 수 있는 가능성

e) PD 보안 수준 보장에 대한 지속적인 통제.

5.2.

운영자는 개인 데이터의 보안을 보장하기 위해 필요한 법적, 조직적, 기술적 및 기타 조치를 취할 의무가 있습니다.

5.3.

보안 요구사항을 개발하고 PD 보안 시스템을 구현하기 위해 운영자는 규제 및 방법론 문서를 기반으로 "ISPD에서 처리될 때 PD 보안 위협 모델"을 개발했습니다. 러시아 FSTEC“개인 데이터 정보 시스템에서 개인 데이터를 처리하는 동안 개인 데이터 보안에 대한 위협의 기본 모델.”

5.4.

정부 기관의 관리 문서에 따른 운영자 - 2012년 11월 1일자 러시아 연방 정부 법령 No. 1119 "개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터 보호 요구 사항 승인"운영자의 ISPD 분류가 수행되었습니다.

5.5.

위원회는 자동화 도구를 사용하여 처리된 ISPD 분류 인증서를 작성했습니다.


ISPD 분류법	ISPD 분류일	필요한 보안 수준

5.6.

운영자는 ISPD 검증 보고서를 기반으로 하고 러시아 FSTEC의 규제 및 방법론 문서 "개인 데이터 정보 시스템에서 처리되는 개인 데이터의 보안을 위한 조직 및 기술 지원을 위한 주요 조치"에 따라 다음을 개발했습니다. 개인 데이터의 보안을 보장하기 위해 개인 데이터의 보안을 보호하고 보장하기 위한 일련의 조치(“실행 계획”)를 구현했습니다.")

5.7.

운영자는 개인정보를 처리하고 보호하기 위해 기술적 수단과 소프트웨어를 사용합니다. 개인정보 보호 수단에 대한 로그도 보관됩니다.

5.8.

운영자는 이동식 저장 매체의 계정 및 저장 로그를 유지 관리합니다.

5.9.

상기 ISPD의 기술적 수단은 운영자의 사무실 및 부지에 위치합니다.

5.10.

PD와 함께 일할 권한이 있는 모든 사람과 ISPD의 운영 및 기술 지원과 관련된 사람은 서명 시 본 규정의 요구 사항을 숙지해야 하며 "개인 데이터의 기밀 유지에 관한 계약"에도 서명해야 합니다. 운영자의 직원”, 본 규정의 부록에 나와 있습니다.

5.11.

운영자는 운영자가 운영하는 개인정보 보호 수단 사용에 대한 교육 과정을 마련했습니다. 이 분야에 대한 교육은 다음과 같은 사람들에게 권장됩니다. 영구 액세스 PD, ISPD 및 ISPD 보호 수단의 하드웨어 및 소프트웨어를 운영하는 사람. ISPD 정보 보안 도구를 운영하는 담당자는 필수 교육을 받아야 합니다.

5.12.

직원은 개인정보를 구성하는 저장 매체의 분실 또는 부족, 개인정보 유출 가능성이 있는 이유 및 조건에 대해 운영자의 관련 담당자에게 즉시 통보할 의무가 있습니다. 승인되지 않은 사람이 운영자가 처리한 직원 PD로부터 정보를 얻으려고 시도하는 경우 즉시 해당 운영자의 담당자에게 알리십시오.

PD 처리에 대한 동의

6.1.

PD 주체는 자신의 PD를 제공하기로 결정하고 자신의 자유 의지와 이익을 위해 자유롭게 처리하는 데 동의합니다. 개인 데이터 처리에 대한 동의는 구체적이고, 충분한 정보를 바탕으로, 의식적으로 이루어져야 합니다. 개인정보 처리에 대한 동의는 러시아 연방 법률에 의해 달리 규정되지 않는 한, 개인정보 주체 또는 그의 대리인이 수령 사실을 확인할 수 있는 모든 형식으로 제공될 수 있습니다. PD 주체의 대리인으로부터 PD 처리에 대한 동의를 받은 경우, PD 주체를 대신하여 동의를 제공할 수 있는 이 대리인의 권한은 운영자에 의해 확인됩니다.

6.2.

개인 데이터 처리에 대한 서면 동의를 얻는 것은 운영자의 직원이 개인 데이터 주체로부터 개인 데이터를 받은 후 운영자 ISPD가 정한 형식으로 서면 동의를 발행함으로써 수행됩니다.

운영자가 처리하는 개인정보에 관한 정보주체의 권리

7.1.

PD 주체는 다음과 같은 권리를 갖습니다.

개인 데이터 처리에 관해 운영자로부터 정보를 받기 위해. 정보는 운영자가 접근 가능한 형식으로 PD 주체에게 제공해야 하며, 해당 PD를 공개할 법적 근거가 없는 한 다른 PD 주체와 관련된 PD를 포함해서는 안 됩니다. 정보 목록 및 정보 획득 절차는 러시아 연방 현행법에 의해 제공됩니다.

개인 데이터가 불완전하거나, 오래되었거나, 부정확하거나, 불법적으로 획득했거나, 명시된 처리 목적에 필요하지 않은 경우 운영자에게 개인 데이터를 명확히 하고, 이를 차단하거나 파기하도록 요구하고, 또한 러시아 법률이 제공하는 조치를 취해야 합니다. 그들의 권리를 보호하기 위한 연맹;

커뮤니케이션을 통해 잠재적 소비자와 직접 접촉함으로써 시장에서 상품, 저작물, 서비스를 홍보할 목적 및 정치적 선전 목적으로 개인 데이터를 처리할 때 사전 서면 동의를 받아야 합니다.

PD의 독점적인 자동화된 처리를 기반으로 운영자가 PD의 주제와 관련하여 법적 결과를 초래하거나 그의 권리 및 적법한 이익에 영향을 미치는 결정을 내릴 때 서면 동의 조건이 적용됩니다.

개인 데이터의 자동화된 처리와 그러한 결정으로 인해 발생할 수 있는 법적 결과에만 근거하여 운영자의 결정에 이의를 제기합니다.

개인 데이터 주체의 권리 보호를 위해 권한 있는 기관이나 법원에 운영자의 조치 또는 무활동에 대해 항소합니다.

ISPDn 운영자의 권리와 의무

8.1.

ISPDn 운영자는 다음과 같은 권리를 갖습니다.

8.1.1.

연방법에 달리 규정되지 않는 한, 주 또는 지방자치단체 계약을 포함하여 이 사람과 체결한 계약을 기반으로 하거나 해당 법률의 채택을 통해 PD 주체의 동의를 받아 PD 처리를 다른 사람에게 위탁합니다. 주 또는 지방자치단체.

8.1.2.

PD 주체가 PD 처리에 대한 동의를 철회하는 경우, 러시아 연방 법률에 명시된 근거가 있는 경우 PD 주체의 동의 없이 PD 처리를 계속합니다.

8.1.3.

러시아 연방 법률에서 규정한 조건을 준수하지 않는 정보에 대한 반복적인 요청을 이행하기 위해 개인 데이터 주체를 거부합니다. 그러한 거부에는 동기가 부여되어야 합니다. 반복적인 요청 이행 거부의 타당성에 대한 증거를 제공할 의무는 운영자에게 있습니다.

8.1.4.

러시아 연방 법률에 규정된 IPDN 운영자의 의무 이행을 보장하는 데 필요하고 충분한 조치의 구성과 목록을 독립적으로 결정합니다.

8.2.

ISPD 운영자는 다음을 수행할 의무가 있습니다.

8.2.1.

PD 처리를 시작하기 전에 운영자는 러시아 연방 법률에 규정된 경우를 제외하고 PD 주체의 권리 보호를 위해 권한 있는 기관에 PD 처리 의사를 통보할 의무가 있습니다.

8.2.2.

PD에 접근할 때 연방법에 달리 규정되지 않는 한 PD를 제3자에게 공개하거나 PD 주체의 동의 없이 PD를 배포해서는 안 됩니다.

8.2.3.

PD의 처리 대상인 PD의 동의를 얻었다는 증거 또는 PD 주체의 동의 없이 PD를 처리할 법적 근거가 존재한다는 증거를 제공하십시오.

8.2.4.

개인 데이터의 국경 간 전송이 시작되기 전에 개인 데이터가 전송되는 외국 영토가 개인 데이터 주체의 권리를 적절하게 보호하는지 확인하십시오.

8.2.5.

PD 주체의 요청에 따라 커뮤니케이션을 통해 잠재 소비자와 직접 접촉하고 정치적 선전 목적으로 상품, 작품, 서비스를 시장에 홍보하기 위해 PD 처리를 중지합니다.

8.2.6.

PD의 자동화된 처리만을 토대로 결정을 내리는 절차와 그러한 결정으로 인해 발생할 수 있는 법적 결과를 PD 주체에게 설명하고, 그러한 결정에 이의를 제기할 수 있는 기회를 제공하며, PD 주체가 보호를 받아야 하는 절차도 설명합니다. 그의 권리와 정당한 이익.

운영자는 이의제기를 접수한 날로부터 30일 이내에 이의제기를 검토하고 이의제기의 검토 결과를 PD주체에게 통보할 의무가 있습니다.

8.2.7.

PD를 수집할 때 PD 주체의 요청에 따라 러시아 연방 법률에서 제공하는 정보를 제공하십시오.

연방법에 따라 PD 주체를 위해 운영자에게 PD를 제공하는 것이 의무적인 경우, 운영자는 PD 주체에게 PD 제공 거부에 따른 법적 결과를 설명할 의무가 있습니다.

8.2.8.

PD 주체로부터 PD를 받지 못한 경우, 운영자는 러시아 연방 법률에 규정된 경우를 제외하고 해당 PD를 처리하기 전에 PD 주체에게 다음 정보를 제공합니다.

1) 운영자 또는 그 대리인의 이름 또는 성, 이름, 부칭 및 주소

2) PD 처리의 목적 및 법적 근거

3) 개인 데이터의 의도된 사용자

4) 본 연방법에 의해 규정된 개인정보 주체의 권리

5) PD 획득 출처.

8.2.9.

러시아 연방 법률에 규정된 IPDN 운영자의 의무 이행을 보장하는 데 필요하고 충분한 조치를 취합니다.

8.2.11.

정보통신망을 이용하여 PD를 수집하는 경우 PD 처리에 관한 정책을 정의하는 문서와 PD 보호를 위해 구현된 요구 사항에 대한 정보를 해당 정보통신망에 게시하고 지정된 정보에 액세스할 수 있는 기능을 제공합니다. 적절한 정보 통신 네트워크 수단을 사용하여 문서를 작성합니다.

8.2.12.

러시아 연방 법률에 의해 규정된 문서 및 현지 법령을 제출하거나 IPDN 운영자의 의무 이행을 보장하는 데 필요하고 충분한 조치의 채택을 확인합니다. PD 주체의 권리.

8.2.13.

PD를 처리할 때 PD에 대한 무단 또는 우발적인 액세스, PD의 파기, 수정, 차단, 복사, 제공, 배포 및 기타 불법 행위로부터 PD를 보호하기 위해 필요한 법적, 조직적, 기술적 조치를 취하거나 채택을 보장하십시오. PD와의 관계

8.2.14.

러시아 연방 법률이 규정한 방식으로 해당 개인정보 주체와 관련된 개인정보의 가용성을 개인정보 주체 또는 그의 대표자에게 무료로 알리고, 다음 내용을 숙지할 수 있는 기회를 제공합니다. 해당 개인정보를 개인정보주체 또는 그 대리인에게 신청하는 경우 또는 정보주체의 요청을 받은 날부터 30일 이내에 PD 또는 그 대리인이 해당 개인정보를 처리합니다.

8.2.15.

해당 PD 주체 또는 PD에 대한 PD의 가용성에 대한 정보를 PD 주체 또는 그의 대리인의 요청에 따라 또는 PD 주체 또는 그의 대리인의 요청을 받은 경우 PD 주체 또는 그의 대리인에게 제공하는 것을 거부하는 경우 운영자는 다음을 제공할 의무가 있습니다. PD 주체 또는 그의 대리인의 신청일 또는 신청일로부터 30일을 초과하지 않는 기간 내에 그러한 거부의 근거가 되는 러시아 연방 법률 조항에 대한 언급을 포함하는 서면 답변 PD 주체 또는 그의 대리인의 요청을 받은 경우.

8.2.16.

PD의 주체 또는 그의 대리인이 PD가 불완전하거나 부정확하거나 관련성이 없음을 확인하는 정보를 제공한 날로부터 영업일 기준 7일을 초과하지 않는 기간 내에 운영자는 필요한 변경을 수행할 의무가 있습니다. PD 주체 또는 그의 대리인이 해당 PD가 불법적으로 획득되었거나 명시된 처리 목적에 필요하지 않음을 확인하는 정보를 제출한 날로부터 영업일 기준 7일을 초과하지 않는 기간 내에 운영자는 해당 PD를 파기할 의무가 있습니다. 운영자는 변경된 사항과 취해진 조치에 대해 PD 주체 또는 그 대리인에게 통지하고, 해당 주체의 PD가 양도된 제3자에게 통지하기 위한 합리적인 조치를 취할 의무가 있습니다.

8.2.17.

개인정보주체의 권리 보호를 위해 권한 있는 기관의 요청이 있는 경우 해당 요청을 받은 날로부터 30일 이내에 필요한 정보를 해당 기관에 보고하십시오.

8.2.18.

운영자 또는 운영자를 대신하는 사람이 수행한 PD의 불법 처리가 적발된 경우, 운영자는 발견일로부터 영업일 기준 3일을 초과하지 않는 기간 내에 PD의 불법 처리를 중단할 의무가 있습니다. 또는 운영자를 대신하여 행동하는 사람에 의한 PD의 불법 처리 중단을 보장합니다. PD 처리의 합법성을 보장할 수 없는 경우 운영자는 불법적인 PD 처리가 적발된 날로부터 영업일 기준 10일 이내에 해당 PD를 파기하거나 파기해야 할 의무가 있습니다. 운영자는 위반사항의 해소 또는 PD의 파기 사실을 PD주체 또는 그 대리인에게 통지할 의무가 있으며, PD주체 또는 그 대리인의 항소가 있거나 PD주체의 권리 보호를 위한 권한 있는 기관의 요청이 있는 경우 PD 주체의 권리 보호를 위해 권한 있는 기관과 지정된 기관에서 보낸 것입니다.

8.2.19.

개인 데이터 처리 목적이 달성된 경우, 운영자는 개인 데이터 처리를 중단하거나 종료를 보장하고(운영자를 대신하여 다른 사람이 개인 데이터 처리를 수행하는 경우) 개인 데이터를 파기하거나 파기해야 할 의무가 있습니다. (개인 데이터 처리가 운영자를 대신하는 다른 사람에 의해 수행되는 경우) PD 주체가 동의한 계약에 달리 규정되지 않는 한, PD 처리 목적을 달성한 날로부터 30일을 초과하지 않는 시간 내에 당사자, 수혜자 또는 보증인, 운영자와 PD 주체 간의 다른 계약, 또는 운영자가 러시아 연방 법률에 규정된 근거에 따라 PD 주체의 동의 없이 PD를 처리할 권리가 없는 경우.

8.2.20.

PD 주체가 자신의 PD 처리에 대한 동의를 철회하는 경우 해당 PD의 처리를 중지하거나 해당 처리의 종료를 보장하십시오(PD 처리가 운영자를 대신하는 다른 사람에 의해 수행되는 경우). 그리고 PD의 보존이 더 이상 불가능할 경우 PD 처리 목적에 필요한 경우, 해당 응답을 받은 날로부터 30일을 초과하지 않는 기간 내에 PD를 파기하거나 PD 처리를 보장합니다(PD 처리가 운영자를 대신하여 수행되는 다른 사람에 의해 수행되는 경우). PD주체를 당사자, 수익자 또는 보증인으로 하는 약정, 운영자와 PD주체 사이의 다른 약정에 의해 달리 규정된 경우 또는 운영자가 PD주체의 동의 없이 PD주체를 처리할 권리가 없는 경우 러시아 연방 법률에 의해.

8.2.21.

개인 데이터 처리 조직을 담당하는 사람을 임명합니다.

개인정보 처리 및 보호 절차

9.1.

운영자가 처리하는 개인 데이터의 기밀성을 보장하는 것은 개인 데이터를 알게 된 모든 사람에게 의무적인 요구 사항입니다.

9.2.

문서를 처리하는 운영자 직원은 다음을 받아야 합니다. 확립된 사례처리에 대한 PD 주체의 동의.

9.3.

PD 처리를 위해 확립된 절차를 위반하는 경우 운영자의 직원은 본 규정의 9항에 따라 책임을 집니다.

9.4.

운영자가 처리한 서면의 대상 PD는 해당 PD를 처리할 권한이 있는 부서(직원 포함)에 보관됩니다. 자동화되지 않은 ISPD에 직원을 허용할 권리는 관리자의 명령에 따라 결정됩니다. 개인정보 보유자를 방치해서는 안 됩니다. 직장을 떠날 때 개인 데이터를 처리하는 직원은 미디어를 안전하고 잠긴 캐비닛에 넣거나 미디어에 대한 무단 접근을 제한해야 합니다. PD가 손실되거나 손상된 경우 가능한 한 복원됩니다.

9.5.

PD가 포함된 문서의 보관 위치:

9.5.1.

운영자 고객의 PD(계약서, 행위, 동의서, 설문지, 여권 사본, 운영자 고객의 PD가 포함된 기타 유사한 문서, 저장 매체(플래시 카드, CD 등))는 운영자의 주 사무실과 예비 사무실에 보관됩니다. , 선반 위에 올려 놓고 열쇠로 잠그어 놓습니다. 관리 책임자는 관리자의 지시에 따라 결정됩니다.

9.5.2.

운영자 직원의 개인정보(문서, 저장매체(플래시카드, CD 등))는 회사 금고에 보관되며 열쇠로 잠겨져 있습니다. 통제권을 행사하는 책임자는 운영자입니다.

9.6.

검토를 위한 문서 발급은 공무 수행을 목적으로 관련 정보가 승인된 사람에게 최대 1일(영업일 기준) 동안 수행됩니다.

9.7.

기타 저장 매체는 운영자의 주 사무실과 백업 사무실에 보관하거나 선반에 놓고 열쇠로 잠그거나 조직의 금고에 보관할 수 있습니다. 다른 정보 매체에 대한 통제권을 행사하는 책임자는 관리자의 명령에 따라 결정됩니다.

9.8.

소프트웨어로 작업할 때 자동화 시스템 PD 보기 및 편집 기능을 구현하는 운영자의 시연은 금지됩니다. 스크린 형태적절한 허가를 받지 않은 사람에게 그러한 데이터를 포함하는 것입니다.

9.9.

직무에 따라 고객이나 타인의 직원으로부터 PD를 받는 운영자의 직원이 PD를 받는 경우에는 PD의 진위 여부를 확인해야 합니다. 운영자가 받은 PD를 에 입력 정보 시스템해당 PD에 접근할 수 있는 직원이 수행합니다. 정보를 입력하는 직원은 입력된 정보의 정확성과 완전성에 대한 책임이 있습니다.

9.10.

자동화 도구(문서 작성 시 개인용 컴퓨터는 사용되지 않음)를 사용하지 않고 종이에 포함된 개인 데이터를 처리하는 기능은 2008년 9월 15일자 러시아 연방 정부 법령 N 687 "에 따라 설정됩니다. 자동화 도구를 사용하지 않고 수행되는 개인 데이터 처리 기능에 대한 규정 승인" .

9.11.

다양한 범주의 개인 데이터를 수동으로 처리하는 경우 각 개인 데이터 범주에 대해 별도의 매체를 사용해야 합니다.

9.12.

개인 데이터를 종이로 자동 처리하지 않는 경우:

9.12.1.

처리 목적이 명백히 양립할 수 없는 하나의 종이 매체 PD에 기록하는 것은 허용되지 않습니다.

9.12.2.

PD는 특히 별도의 종이 매체, 특수 섹션 또는 양식(서식) 분야에 기록하여 다른 정보와 분리되어야 합니다.

9.13.

표준 형식의 문서를 사용하는 경우 PD가 포함되도록 제안하거나 허용하는 정보의 성격(이하 표준 형식이라고 함)은 다음 조건을 충족해야 합니다.

9.13.1.

표준 양식 또는 관련 문서(작성 지침, 카드, 기록부 및 일지)에는 PD의 비자동 처리 목적, 운영자의 이름(이름) 및 주소, 성, 이름, 부칭에 대한 정보가 포함되어야 합니다. PD 주체의 주소, PD 수령 출처, 개인 데이터 처리 기한, 처리 중에 수행될 개인 데이터 관련 작업 목록, 운영자가 사용하는 개인 데이터 처리 방법에 대한 일반적인 설명 ;

9.13.2.

표준 양식에는 PD 처리에 대한 서면 동의가 필요한 경우 PD 주체가 비자동 PD 처리에 대한 동의를 표시할 수 있는 필드가 포함되어야 합니다.

9.13.3.

표준 양식은 문서에 포함된 각 PD 주체가 다른 PD 주체의 권리와 적법한 이익을 침해하지 않고 문서에 포함된 자신의 PD를 숙지할 수 있는 기회를 갖도록 작성되어야 합니다.

9.13.4.

표준 양식에서는 처리 목적이 명백히 호환되지 않는 개인 데이터를 입력하기 위한 필드 조합을 제외해야 합니다.

9.14.

PD의 보관은 PD의 보관 기간이 연방법에 의해 확립되지 않는 한, PD의 주체를 식별할 수 있는 형식으로 수행되어야 하며, PD 처리 목적에 필요한 기간보다 길지 않아야 합니다. 당사자, 수혜자 또는 보증인.

9.15.

개인정보의 파기, 차단, 정리 사례:

9.16.

유형 매체가 허용하는 경우 개인 데이터의 일부를 파기하거나 개인화하는 것은 유형 매체에 기록된 다른 데이터를 처리(삭제, 삭제)할 수 있는 가능성을 유지하면서 해당 개인 데이터의 추가 처리를 방지하는 방식으로 수행될 수 있습니다.

9.17.

자동화 도구를 사용하지 않고 개인 데이터를 처리할 때 유형 매체의 데이터를 업데이트하거나 변경하는 방식으로 개인 데이터를 명확히 하며, 이것이 허용되지 않는 경우 기술적 특징 재료 캐리어- 변경된 정보를 동일한 매체에 기록하거나 PD가 업데이트된 새로운 매체를 제작합니다.

9.18.

개인정보가 포함된 매체의 파기 방법은 다음과 같습니다.

9.18.1.

종이에 기재된 PD는 사업자 사무실에 설치된 분쇄기(문서세단기)를 이용하여 파기합니다.

9.18.2.

PC 메모리에 위치한 PD를 PC 메모리에서 삭제하면 파기됩니다.

9.18.3.

플래시 카드, CD 또는 기타 저장 매체에 있는 PD는 필요한 경우 플래시 카드나 CD의 기능을 방해하여 매체에서 파일을 삭제함으로써 파기됩니다.

9.19.

저장 매체 파기에 대한 보고서가 작성됩니다(보고서 형식은 부록 참조).

9.20.

근무일이 끝나고 사무실 구내에 직원이 없을 때 사무실, 운영자 구내는 잠기고, 창문은 닫혀야 하며, 알람이 켜져 있어야 합니다(있는 경우).

9.21.

네트워크 장비와 서버는 허가받지 않은 사람이 접근할 수 없는 장소(특수실, 캐비닛, 상자)에 위치해야 합니다.

9.22.

시설 청소 및 ISPD 기술 장비의 유지 관리는 ISPD 정보 처리, 전송 및 보호를 위한 PD, 정보 매체, 소프트웨어 및 하드웨어에 대한 무단 접근을 배제하는 조치에 따라 이러한 시설 및 기술적 수단을 담당하는 사람의 통제 하에 수행되어야 합니다. .

9.23.

ISPDn 관리자의 책임에는 ISPDn 사용자 계정 관리, ISPDn의 정기적인 운영 유지, 지원데이터, 하드웨어의 설치 및 구성 및 소프트웨어 ISPDn은 ISPDn에서 PD의 보안을 보장하는 것과 관련이 없습니다. 또한 ISPD 관리자의 책임에는 특정 ISPD에 부과된 PD의 기밀성, 무결성 및 가용성에 대한 요구 사항에 따라 ISPD에서 PD의 처리 절차를 준수하고 보안을 보장하는 것이 포함됩니다. 일반 요구 사항연방 법률에 의해 확립된 개인 데이터의 보안에 관한 것입니다.

9.24.

ISPD 관리자의 책임에는 하드웨어 설치, 구성 및 관리도 포함됩니다. 소프트웨어 ISPD 정보 보호, PD 기계 매체의 회계 및 저장, 보안 로그의 정기 감사 및 ISPD 보안 분석, PD 보안 처리 및 보장을 위해 확립된 절차 위반에 대한 공식 조사에 참여합니다.

9.25.

권한 분배를 보장하고 상호 통제를 구현하며 개인 데이터의 안전에 중요한 권한이 한 사람에게 집중되는 것을 방지하기 위해 ISPD 사용자와 ISPD 관리자의 역할을 한 직원에게 결합하는 것은 권장되지 않습니다.

9.26.

ISPD 관리자의 자격 요건과 자세한 권리 및 책임 목록은 관련 직무 설명에 명시되어 있으며, 이러한 역할에 임명된 직원은 서명 시 숙지해야 합니다.

9.27.

운영자의 PD 처리 프로세스에 대한 내부 통제 조직은 PD 보안의 실제 상태를 연구 및 평가하고 처리를 위해 확립된 절차 위반에 대한 적시 대응은 물론 이 절차를 개선하기 위해 수행됩니다. 규정 준수를 보장합니다.

9.28.

개인 데이터 처리 및 보안에 대한 내부 통제를 구현하는 조치는 다음 작업을 해결하는 것을 목표로 합니다.

9.28.1.

운영자 직원이 본 규정 및 개인 데이터 범위에 관한 규정의 요구 사항을 준수하는지 확인합니다.

9.28.2.

개인 데이터 처리와 관련된 직원의 역량을 평가합니다.

9.28.3.

ISPD 기술적 수단 및 PD 보호 수단의 작동성과 효율성을 보장하고 PD 보안 문제에 대한 승인된 집행 기관의 요구 사항을 준수합니다.

9.28.4.

개인 데이터 처리를 위해 확립된 절차의 위반을 탐지하고 그러한 위반으로 인한 부정적인 결과를 적시에 예방합니다.

9.28.5.

PD 처리 절차와 ISPD의 기술적 수단 운영 모두에서 확인된 위반 사항을 제거하기 위한 시정 조치를 취합니다.

9.28.7.

위반 사항을 제거하기 위한 권장 사항 및 지침 구현에 대한 내부 통제를 실시합니다.

9.29.

통제 활동의 결과는 행위로 문서화되며, 개인 데이터 처리 절차 개선 및 보안 보장, 정보 시스템의 기술 수단 및 개인 데이터 보호 수단 현대화, 교육 및 개선을 위한 권장 사항 개발의 기초가 됩니다. 개인 데이터 처리와 관련된 직원의 역량.

운영자 직원의 개인 데이터 관리 기능

10.1.

이 섹션에서는 운영자 직원의 개인 데이터를 처리할 때 운영자와 직원의 추가 권리와 의무를 규정합니다.

10.2.

직원 개인 데이터는 노사 관계 및 특정 직원과 관련하여 운영자가 요구하는 정보입니다.

10.3.

직원의 개인 데이터 처리는 법률 및 기타 규정 준수를 보장하고, 직원의 고용, 교육 및 승진 지원, 직원의 개인 안전 보장, 수행되는 업무의 양과 질을 모니터링하고 재산의 안전.

10.4.

운영자는 연방법에 의해 규정된 경우를 제외하고 직원의 공공 협회 회원 자격이나 노동 조합 활동에 관한 직원의 개인 데이터를 수신하고 처리할 권리가 없습니다.

10.5.

직원의 이익에 영향을 미치는 결정을 내릴 때 운영자는 자동화된 처리 또는 전자 영수증의 결과로만 얻은 직원의 개인 데이터에 의존할 권리가 없습니다.

10.6.

직원은 비밀을 유지하고 보호할 권리를 포기해서는 안 됩니다.

10.7.

운영자는 직원의 서면 동의 없이 상업적 목적으로 직원의 개인 정보를 공개하지 않을 것을 약속합니다.

10.8.

운영자는 직원의 개인 데이터를 수신하는 운영자의 직원 및 제3자에게(그의 동의 하에) 이 데이터는 전달된 목적으로만 사용될 수 있음을 경고하고 이들에게 이 규칙이 준수되는지 확인하도록 요구합니다. 직원의 개인 데이터를 받는 사람은 비밀 유지(기밀 유지) 체제를 준수해야 합니다. 기밀 유지 체제는 해당 개인과의 계약에 서명함으로써 보장됩니다(본 규정의 부록). 이 조항은 러시아 연방 법률에 의해 설정된 방식으로 직원의 개인 데이터를 교환하는 데는 적용되지 않습니다.

10.9.

직원의 개인 데이터에 대한 접근은 운영자가 승인한 명령 및 규정에 따라 수행됩니다.

10.10.

운영자는 직원의 직무 수행 능력 문제와 관련된 정보를 제외하고 직원의 건강 상태에 대한 정보를 요청하지 않을 것을 약속합니다.

10.11.

운영자는 러시아 연방 법률이 정한 방식에 따라 직원 PD를 직원 대표에게 양도하고, 이 정보를 해당 대표가 직무를 수행하는 데 필요한 직원 PD로만 제한할 것을 약속합니다.

10.12.

직원은 자신의 개인정보를 보호하기 위해 대리인을 지정할 권리가 있습니다.

이 조항 위반에 대한 책임

11.1.

운영자의 경영진은 개인 데이터의 기밀성을 보장하지 못하고 개인 정보 보호, 개인 및 가족 비밀에 대한 권리를 포함하여 개인 데이터와 관련된 개인 데이터 주체의 권리와 자유를 준수하지 않는 데 책임이 있습니다.

11.4.

PD의 처리 및 보안 보장, PD에 대한 무단 접근, PD 공개를 위해 확립된 절차를 위반하고 운영자, 그 직원, 고객 및 상대방에게 물질적 또는 기타 피해를 입힌 경우, 가해자는 민사, 형사, 행정적 책임을 집니다. , 러시아 연방 법률에 의해 규정된 징계 및 기타 책임.

법률 및 기타 규정을 준수하여 수행됩니다.

개인 데이터 처리는 무엇입니까? 이 프로세스에는 다음 단계가 포함됩니다.

개인 데이터 작업에 대한 법적 규제는 개인 데이터 작업의 모든 프로세스와 단계를 포괄합니다.

목표

개인 데이터 처리가 필요한 이유는 무엇입니까? 직원의 개인정보 처리는 이를 용이하게 하기 위해 기업이나 조직에서 수행됩니다.

개인정보 처리의 주요 목적:

취업에 있어서;
교육 기관에 배치하거나 훈련, 고급 훈련을 위해;
노동 보호를 목적으로;
승진 및 직업 기회 통제를 위해;
수행된 작업의 양과 질을 모니터링합니다.

이 법안은 직원의 발전과 능력 및 경험의 적절한 사용 목적으로만 직원의 개인 데이터를 축적하고 전송하도록 규정하고 있습니다. , 다기능 목표를 포함합니다.

직원의 개인 데이터 처리 목적에는 생산 프로세스 구성 조건에서 직원 능력의 관련성을 결정하는 합성 및 상호 관계를 통한 개인 데이터의 사용 및 처리가 포함됩니다.

개인 데이터 처리에 대해 설정되고 명시된 목표는 직원에게 알리지 않고 변경할 수 없습니다.

누가 수행했나요?

개인 데이터는 특정 정부 대표 및 기타 서비스에 관심을 갖고 있는 사람에 대한 기본 정보가 포함된 정보를 의미합니다.

특히 생산(조직 내)에서 개인 데이터는 직원에 대한 정보를 기반으로 생산 작업 조직을 관리하는 고용주의 관심 사항입니다.

고용주는 다음에서 제공되는 모든 개인 데이터를 요청할 권리가 있습니다. 계정직원에 대해. 그 외에도 개인 데이터에 대한 액세스는 수행하는 사람의 범위가 제한되어 있습니다. 운영 작업. 원칙적으로 이들은 사무국 및 인사 부서 직원입니다.

개인정보를 이용한 정보활동을 수행하는 운영자는 지정된 업무를 시작하기 전에 지시를 받습니다. 그는 개인 데이터에 포함된 정보의 공개를 금지하는 운영 규칙 및 원칙을 숙지합니다.

나열된 작업 유형의 구현은 정보 수집 이유인 목적만을 추구할 수 있습니다. 개인 데이터의 오용 또는 공개는 책임이 부과되는 중대한 위반으로 간주됩니다.

위반

앞서 논의한 바와 같이, 개인 데이터 처리 위반은 다음과 같이 간주됩니다.

개인 데이터에 대한 운영자의 작업은 승인된 서비스에 의해 엄격하게 통제되며 운영자는 단점, 의도하지 않거나 고의적인 위반에 대해 책임을 집니다.

개인 데이터를 처리하는 동안 승인되지 않은 모든 행위는 징계, 행정적 처벌, 경우에 따라 형사 처벌로 이어질 수 있습니다.