Od 1. jula povećane su novčane kazne za kršenje obrade ličnih podataka zaposlenih, pa je vredno dovesti stvari u red u dokumentima i uputiti osoblje. Više o radu sa ličnim podacima od 1. jula 2017. pročitajte u ovom članku.

Lična informacija - ovo je svaka informacija koja se odnosi na određenog zaposlenog. Na primjer, puno ime, datum i mjesto rođenja, mjesto stanovanja, itd. Poslodavac - organizacija ili pojedinačni preduzetnik - u ovom slučaju djeluje operater podataka za koje sazna za zaposlenog, te je dužan te podatke čuvati u skladu sa utvrđenom procedurom.

Lične podatke poslodavcu daju samo sami zaposleni. Nakon toga, takve informacije se obično sumiraju u lične kartice ili fajlove. Ako se lični podaci mogu dobiti od trećih lica, onda zaposlenika treba obavijestiti o tome i dobiti pismenu saglasnost od njega (klauzula 3, dio 1, član 86 Zakona o radu Ruske Federacije).

Poslodavci nemaju pravo da primaju i obrađuju lične podatke koji nisu u vezi sa radnim aktivnostima, kao što su podaci o ličnom ili porodičnom životu. A širenje i otkrivanje ličnih podataka trećim licima moguće je samo uz pristanak zaposlenika (član 7. Federalnog zakona od 27. jula 2006. br. 152-FZ).

Od 1. jula 2017. godine uvedene su nove novčane kazne za kršenje uslova za obradu i zaštitu ličnih podataka. Stoga je potrebno dovesti stvari u red u dokumentima i uputiti podređene kako bi kompanija i glavni računovođa lično izbjegli kazne.

Obrada ličnih podataka od 01.07.2017

Osnovni zadatak poslodavca je zaštita ličnih podataka zaposlenih. Procedura za primanje, obradu, prijenos i čuvanje ličnih podataka mora biti sadržana u lokalnom aktu organizacije, na primjer u Pravilniku o obradi ličnih podataka zaposlenih (član 8, 87 Zakona o radu Ruske Federacije, klauzula 2, dio 1, član 18.1 Zakona br. 152-FZ).

Organizacija mora službeno imenovati zaposlenika odgovornog za rad s ličnim podacima (dio 5. člana 88. Zakona o radu Ruske Federacije). To bi mogao biti, na primjer, zaposlenik HR-a.

Organizacija mora poduzeti potrebne mjere za zaštitu ličnih podataka od neovlaštenog ili slučajnog pristupa, uništenja, modifikacije, blokiranja, kopiranja, pružanja, distribucije. Sigurnosne mjere za obradu ličnih podataka detaljno su navedene u članu 19. Zakona br. 152-FZ. Prisjetimo ih se.

Da bi se osigurala sigurnost ličnih podataka, potrebno je blagovremeno identifikovati prijetnje sigurnosti tokom obrade, primijeniti pouzdane mjere sigurnosti i ocijeniti djelotvornost zaštite, preduzeti mjere za sprječavanje nezakonitog pristupa podacima, uspostaviti pravila za pristup podacima, registrovati i voditi evidenciju. svih radnji pri radu sa podacima.

Prošireno od 1. jula 2017 spisak osnova po kojima će poslodavac administrativno odgovarati , ako se pokaže da je narušen redoslijed rada s podacima. Promjene su uvedene Federalnim zakonom br. 13-FZ od 02.07.2017. Recimo vam više o njima.

Umjesto jedne vrste administrativne odgovornosti, koja je bila prije. Sada član 13.11 Zakona o upravnim prekršajima Ruske Federacije predviđa sedam tačaka. Šest njih se tiče organizacija i pojedinačnih preduzetnika. Odnosno, za različite prekršaje poslodavaca u radu sa ličnim podacima mogu se primijeniti različite novčane kazne.

Primjeri grešaka u obradi ličnih podataka od 01.07.2017

Ostavio dokumente sa ličnim podacima na stolu . Kazna za ovaj prekršaj iznosi 50 hiljada rubalja za kompaniju, 10 hiljada rubalja za glavnog računovođu (dio 6 člana 13.11 Zakona o upravnim prekršajima Ruske Federacije). Dokumenti zaposlenih ne bi trebalo da budu izloženi javnosti. Stranci mogu koristiti informacije o zaposleniku.

Potrebno je razviti proceduru za rad sa ličnim podacima. Na primjer, zabranjeno je ostavljati papire sa ličnim podacima na stolu i iznositi ih van kancelarije. I čuvajte dokumente u sefu ili ormariću, gdje će im pristup biti ograničen.

Zaposlenom nisu data dokumenta sa svojim podacima . Skrivanje ličnih podataka od osobe je također prekršaj. Novčana kazna - 50 hiljada rubalja za kompaniju, 5 hiljada rubalja za glavnog računovođu (član 5.27 Zakona o upravnim prekršajima Ruske Federacije).

Obezbedite platne listiće zaposlenima. Da biste to učinili, sada ne morate ni trošiti novac na papir. Možete slati letke e-poštom ili objavljivanjem poruke na web stranici vaše organizacije. Podatke o radnom stažu izdati u roku od 5 kalendarskih dana od momenta kada se zaposleni prijavi za isti, kao i na dan otpuštanja.

Stari podaci nisu ažurirani . Kazna će biti 45 hiljada rubalja za kompaniju, 10 hiljada rubalja za glavnog računovođu (dio 5 člana 13.11 Zakona o upravnim prekršajima Ruske Federacije). Podaci o zaposlenima se mogu promijeniti, pa se moraju ažurirati na zahtjev zaposlenika. Na primjer, zaposlenica se udala i promijenila prezime, adresu ili podatke o računu. Ukoliko kompanija ne ažurira informacije, prekršiće pravila rada sa podacima.

Odmah unesite nove podatke u bazu podataka ako zaposleni donese dokumente. Ovo će vam olakšati popunjavanje izvještaja.

Objavljene informacije na štandu . Kazna - 75 hiljada rubalja za kompaniju, 20 hiljada rubalja za glavnog računovođu (dio 2 člana 13.11 Zakona o upravnim prekršajima Ruske Federacije). Lični podaci mogu se otkriti i slučajno. Na primjer, glavni računovođa je kao uzorak stavio na štand kopiju zahtjeva zaposlenika za odbitak imovine. Dokument sadrži lične podatke, tako da je ovo kršenje. Zaposleni nije pristao da informacije o njemu postanu javno dostupne. Ne možete objavljivati ​​informacije ni na ploči srama. Za to je potrebno zatražiti saglasnost zaposlenog.

Ne otkrivajte podatke o zaposlenima bez pristanka. Ako trebate poslati uzorak, koristite fiktivne informacije.

Navedeno ime, adresa ili broj telefona zaposlenog . Cijena prekršaja je 50 hiljada rubalja po kompaniji, 10 hiljada rubalja po glavnom računovođi (dio 1 člana 13.11 Zakona o upravnim prekršajima Ruske Federacije). Podaci o zaposlenima se ne smiju dijeliti s trećim licima bez pristanka, kao što su banke ili agencije za naplatu. Za razmjenu informacija zatražite pristanak zaposlenika.

Moguće je prenijeti podatke o zaposlenom na zahtjev druge organizacije ili „liječnika“ samo ako im je zaposlenik dao punomoćje za primanje informacija. Pristanak zaposlenika za obradu podataka nije potreban samo u slučajevima predviđenim zakonom. Na primjer, ako zaposleni kupi nešto od kompanije i želi da primi elektronsku potvrdu putem pošte ili telefona (pismo Ministarstva telekomunikacija i masovnih komunikacija Rusije od 7. jula 2017. br. P11-15054-OG).

Od 1. jula 2017. godine značajno je pooštrena odgovornost za prekršaje prilikom interakcije sa ličnim podacima pojedinaca. Ovo proizilazi iz odredbi Federalnog zakona od 02.07.2017. br. 13-FZ). Promjene će uticati na sve poslodavce bez izuzetka koji su uključeni u obradu ličnih podataka zaposlenih i pojedinačnih izvođača. Štaviše, možemo reći da se izmjene odnose na gotovo cijelu poslovnu zajednicu koja stupa u interakciju s ličnim podacima pojedinaca (na primjer, vlasnici web stranica koje prikupljaju lične podatke posjetitelja). Kako se pripremiti za promjene? Hoće li se kazne povećati? Ko će otkriti prekršaje u obradi ličnih podataka? Hajde da to shvatimo.

Lični podaci: posebne informacije

Lični podaci zaposlenih su sve informacije potrebne poslodavcu u vezi sa radnim odnosima i koje se odnose na određenog zaposlenog (klauzula 1, član 3 Federalnog zakona od 27. jula 2006. br. 152-FZ „O ličnim podacima“).

Za poslodavca (organizaciju ili individualnog preduzetnika) lični podaci zaposlenih najčešće se sažimaju u njihovim ličnim kartama i ličnim dosijeima. Istovremeno, gotovo svaki menadžer ljudskih resursa ili stručnjak za ljudske resurse zna da se lični podaci mogu dobiti samo lično od zaposlenih. Ako se lični podaci mogu dobiti samo od trećih strana, onda rusko zakonodavstvo obavezuje da o tome obavesti zaposlenog i dobije pismenu saglasnost od njega (član 3. dela 1. člana 86. Zakona o radu Ruske Federacije).

Poslodavci nemaju pravo primati i obrađivati ​​lične podatke koji nisu direktno povezani sa radnom djelatnošću osobe. Odnosno, nemoguće je prikupiti informacije, na primjer, o vjeri zaposlenih. Na kraju krajeva, takve informacije predstavljaju ličnu ili porodičnu tajnu i ne mogu se ni na koji način povezati s obavljanjem radnih obaveza (klauzula 4. dijela 1. člana 86. Zakona o radu Ruske Federacije).

Nakon što je primio lične podatke, poslodavac je, shodno zakonskim zahtjevima, dužan da ih ne distribuira niti otkriva trećim licima bez pristanka zaposlenika (član 7. Federalnog zakona od 27. jula 2006. br. 152-FZ).

Lični podaci mogu se shvatiti kao bilo koja informacija koja se direktno ili indirektno odnosi na određenog pojedinca (subjekt ličnih podataka) - stav 1 člana 3 Saveznog zakona od 27. jula 2006. br. 152-FZ. Primjeri takvih informacija mogu biti prezime, ime, patronim, datum i mjesto rođenja, mjesto stanovanja itd.

Kako je poslodavac dužan zaštititi lične podatke

Kako bi zaštitio i ograničio pristup ličnim podacima, poslodavac mora obezbijediti kvalitetan i moderan sistem njihove zaštite. Kako to tačno uraditi? Svaki poslodavac samostalno odlučuje o ovom pitanju. Istovremeno, postupak za primanje, obradu, prenos i čuvanje ličnih podataka mora biti sadržan u lokalnom aktu organizacije, na primer u Pravilniku o obradi ličnih podataka zaposlenih (član 8., 87. Zakona o radu). Ruske Federacije, klauzula 2, dio 1, član 18.1 Federalnog zakona od 27. jula 2006. br. 152-FZ).

Također, poslodavac mora službeno imenovati zaposlenika koji je odgovoran za rad s ličnim podacima (dio 5. člana 88. Zakona o radu Ruske Federacije). To može biti, na primjer, zaposlenik odjela za ljudske resurse koji komunicira s ličnim dosijeima, dobije pristanak zaposlenika za obradu, održava kartice zaposlenih itd.

Inspekcije poslodavca u vezi sa obradom ličnih podataka vrše odjeljenja Roskomnadzora. Naredbom br. 312 Ministarstva telekomunikacija i masovnih komunikacija Rusije od 14. novembra 2011. odobrena je Administrativna regulativa za izvršavanje funkcija Roskomnadzora za sprovođenje državne kontrole (nadzora).

Koje odgovornosti važe za poslodavce

Za kršenje postupka za primanje, obradu, čuvanje i zaštitu ličnih podataka zaposlenih predviđena je disciplinska, materijalna, administrativna i krivična odgovornost (član 90. Zakona o radu Ruske Federacije, dio 1., član 24. Federalnog zakona o 27. jula 2006. br. 152-FZ). Pogledajmo svaku od ovih vrsta odgovornosti.

Disciplinska odgovornost

Zaposlenici koji su zbog radnih odnosa dužni da se pridržavaju pravila za rad s ličnim podacima, ali su ih prekršili (član 192. Zakona o radu Ruske Federacije) mogu odgovarati za kršenja prilikom rada s ličnim podacima. Odnosno, možete smatrati odgovornim, na primjer, HR menadžera kojem je povjeren odgovarajući posao. Za disciplinski prekršaj prikupljanja, obrade i čuvanja ličnih podataka, poslodavac može kazniti svog zaposlenog primjenom jedne od sljedećih kazni prema njemu (1. dio člana 192. Zakona o radu Ruske Federacije):

• komentar;
• ukor;
• otpuštanje.

Materijalna odgovornost

Finansijska odgovornost zaposlenika može nastati ako je, u vezi s kršenjem pravila za rad s ličnim podacima organizacije, nastala direktna stvarna šteta (član 238. Zakona o radu Ruske Federacije). Pretpostavimo da je odgovorni službenik HR odjela počinio grubi prekršaj - distribuirao je lične podatke zaposlenih na internetu. Radnici su, saznavši za to, podnijeli tužbu protiv poslodavca, koja je presudila: "da isplati novčanu odštetu oštećenim radnicima - po 50.000 rubalja." U takvoj situaciji, poslodavac ima mogućnost nametnuti ograničenu finansijsku odgovornost krivom zaposleniku kadrovske službe u granicama njegove prosječne mjesečne zarade (član 241. Zakona o radu Ruske Federacije). Naknada pričinjene štete može se izvršiti po nalogu rukovodioca najkasnije u roku od mjesec dana od dana konačnog utvrđivanja visine štete koju je prouzročio zaposleni. Ako je mjesecni rok istekao, onda će se šteta morati nadoknaditi putem suda. Ovaj postupak je predviđen članom 248. Zakona o radu Ruske Federacije.

Pročitajte također Ko treba da sprovodi obuku za civilnu odbranu i hitne slučajeve?

Uz punu finansijsku odgovornost, zaposlenik će morati u potpunosti nadoknaditi organizaciju za cjelokupni iznos štete koja je nastala u vezi s kršenjem podataka u oblasti ličnih podataka (članovi 242. i 243. Zakona o radu Ruske Federacije). Međutim, po pravilu se zaposlenima odgovornim za obradu ličnih podataka ne daje puna finansijska odgovornost.

Poslodavac (na primjer, komercijalna organizacija) primjenjuje disciplinsku i finansijsku odgovornost isključivo po svom nahođenju. Državni regulatorni organi (uključujući Roskomnadzor) ne učestvuju u ovom procesu.

Administrativna odgovornost

Za kršenje procedure prikupljanja, čuvanja, korišćenja ili distribucije ličnih podataka poslodavca i službenika, regulatorni organi mogu izreći administrativnu odgovornost u vidu novčanih kazni, koje mogu iznositi:

• za službenike (na primjer, generalni direktor, glavni računovođa, kadrovski službenik ili individualni poduzetnik): od 500 do 1000 rubalja;
• za organizaciju: od 5.000 do 10.000 rubalja.

Zasebna (nezavisna) kazna za službenike za otkrivanje ličnih podataka u vezi sa obavljanjem službenih ili profesionalnih dužnosti kreće se od 4.000 do 5.000 rubalja. Takve kazne su opisane u članovima 13.11 i 13.14 Zakona o upravnim prekršajima Ruske Federacije.

Krivična odgovornost

Za nezakonite radnje može nastupiti krivična odgovornost za direktora, glavnog računovođu ili rukovodioca kadrovske službe preduzeća ili drugu osobu odgovornu za rad sa ličnim podacima:

• prikupljanje ili širenje podataka o privatnom životu zaposlenog, koji predstavljaju njegovu ličnu ili porodičnu tajnu, bez njegovog pristanka;
• širenje informacija o zaposlenom u javnom govoru, javno izloženom radu ili medijima.

Za takve prekršaje u pogledu rukovanja ličnim podacima dozvoljene su sljedeće krivične kazne:

• novčana kazna do 200.000 rubalja (ili u visini prihoda osuđenog lica u trajanju do 18 mjeseci);
• obavezan rad do 360 sati;
• popravni rad do jedne godine;
• prisilni rad u trajanju do dvije godine sa ili bez oduzimanja prava na obavljanje određenih funkcija ili obavljanje određenih djelatnosti u trajanju do tri godine;
• hapšenje do četiri mjeseca;
• kazna zatvora do dvije godine sa lišenjem prava na obavljanje određenih funkcija ili obavljanje određenih djelatnosti u trajanju do tri godine.

Strože se kažnjavaju ista djela koja počini lice koristeći svoj službeni položaj:

• novčana kazna od 100.000 do 300.000 rubalja. (ili u visini prihoda osuđenog za period od jedne do dvije godine);
• lišavanje prava na obavljanje određenih funkcija ili obavljanja određenih djelatnosti na period od dvije do pet godina;
• prisilni rad u trajanju do četiri godine sa ili bez oduzimanja prava na obavljanje određenih poslova ili obavljanje određenih djelatnosti u trajanju do pet godina;
• lišenje slobode u trajanju od četiri do šest mjeseci;
• kazna zatvora do četiri godine sa lišenjem prava na obavljanje određenih funkcija ili obavljanje određenih delatnosti u trajanju do pet godina (član 137. Krivičnog zakona Ruske Federacije).

Šta će se promijeniti od 01.07.2017

Savezni zakon od 07.02. 2017. br. 13-FZ proširio je listu osnova za privođenje poslodavca administrativnoj odgovornosti u oblasti zaštite ličnih podataka, a također je povećao iznos administrativnih kazni. Ovaj zakon stupa na snagu 1. jula 2017. godine. Odmah da kažemo da je administrativna odgovornost u oblasti ličnih podataka značajno pooštrena. Istovremeno, važno je sljedeće: umjesto jedine vrste administrativne odgovornosti opisane u članu 13.11 Zakona o upravnim prekršajima Ruske Federacije, pojavit će se sedam. Dakle, za različite prekršaje poslodavaca u oblasti ličnih podataka mogu se primijeniti različite novčane kazne. Ako se za različite prekršaje otkrije više prekršaja, onda se broj novčanih kazni može povećati u skladu s tim. Objasnimo detaljnije nove prekršaje.

Kršenje 1: obrada ličnih podataka u „druge“ svrhe

Od 1. jula 2017. godine obrada ličnih podataka u slučajevima koji nisu predviđeni zakonom, ili obrada ličnih podataka koja nije u skladu sa svrhom prikupljanja ličnih podataka su samostalne vrste administrativnog prekršaja (1. dio člana 13.11 Zakonika o upravnom postupku). Prekršaji Ruske Federacije). Dajemo primjer: organizacija za zapošljavanje prikuplja lične podatke zaposlenih i prenosi te podatke trećim kompanijama u reklamne svrhe (prenosi se puno ime, brojevi telefona, regije prebivališta, nivo prihoda). Tada reklamne firme počinju da šalju različite neželjene i reklamne ponude zaposlenima telefonom, e-mailom i kućnim adresama. Ako se takvim radnjama poslodavca ne otkrije krivično djelo, onda se može primijeniti administrativna odgovornost. Od 1. jula 2017. godine administrativne kazne mogu biti sljedeće:

• ili upozorenje;
• ili novčane kazne.

Prekršaj 2: obrada ličnih podataka bez pristanka

Obrada ličnih podataka od strane poslodavca, po pravilu, moguća je samo uz pismenu saglasnost zaposlenih. Takva saglasnost mora sadržavati sljedeće informacije (dio 4. člana 9. Zakona od 27. jula 2006. br. 152-FZ):

• Puno ime, adresa zaposlenog, podaci o pasošu (drugi dokument kojim se dokazuje njegov identitet), uključujući podatke o datumu izdavanja dokumenta i organu koji ga je izdao;
• naziv ili puno ime i adresa poslodavca (operatera) koji dobija saglasnost zaposlenog;
• svrha obrade ličnih podataka;
• spisak ličnih podataka za čiju obradu se daje saglasnost;
• ime ili puno ime i adresa lica koje obrađuje lične podatke u ime poslodavca, ako će obrada biti poverena tom licu;
• spisak radnji sa ličnim podacima za koje se daje saglasnost, opšti opis metoda koje poslodavac koristi za obradu ličnih podataka;
• period tokom kojeg važi saglasnost zaposlenog, kao i način njenog povlačenja, osim ako saveznim zakonom nije drugačije određeno;
• potpis radnika.

Od 1. jula 2017. godine, obrada ličnih podataka bez pismene saglasnosti zaposlenog, ili ako pismeni pristanak ne sadrži gore navedene podatke, predstavlja samostalan upravni prekršaj iz člana 13.11.2. Zakona o upravnim prekršajima. Ruska Federacija. Za ovo su moguće kazne:

Kršenje 3: pristup politici obrade ličnih podataka

Operater ličnih podataka (na primjer, poslodavac ili web stranica) dužan je objaviti ili na drugi način omogućiti neograničen pristup dokumentu koji definiše njegovu politiku u pogledu obrade ličnih podataka, informacijama o implementiranim zahtjevima za zaštitu ličnih podataka. Operater koji prikuplja lične podatke na Internetu (npr. putem web stranice) dužan je da na internetu objavi dokument kojim se definiše njegova politika u pogledu obrade ličnih podataka i informacije o implementiranim zahtjevima za zaštitu ličnih podataka, kao i pružaju mogućnost pristupa navedenom dokumentu. Ovo je predviđeno stavom 2 člana 18.1 Zakona od 27. jula 2006. br. 152-FZ.

Mnogi korisnici interneta suočeni su sa ispunjavanjem ove obaveze u praksi. Tako, na primjer, kada ostavite bilo koju aplikaciju na web stranicama i navedete svoje puno ime i e-mail, možete obratiti pažnju na link do sličnih dokumenata: “Politika obrade osobnih podataka”, “Pravilnik o obradi osobnih podataka” , itd. Međutim, vrijedno je prepoznati da neke stranice to zanemaruju i ne pružaju nikakve veze. I ispostavilo se da osoba ostavi zahtjev na stranici, ne zna u koje svrhe stranica prikuplja lične podatke.

Neki poslodavci također prikazuju dostupna slobodna radna mjesta na svojim web stranicama i pozivaju kandidate da popune obrazac „O meni“. U takvim slučajevima, web stranica također mora omogućiti pristup „Politici obrade ličnih podataka“.

Od 1. jula 2017., dio 3 člana 13.11 Zakona o upravnim prekršajima Ruske Federacije identificirao je nezavisan prekršaj - neuspjeh operatera da ispuni obavezu objavljivanja ili pružanja neograničenog pristupa dokumentu sa politikom obrade ličnih podataka ili informacija o njihovoj zaštiti. Odgovornost prema ovom članku može izgledati kao opomena ili administrativne kazne:

Kršenje 4: prikrivanje informacija

Subjekt ličnih podataka (odnosno, pojedinac kome ovi podaci pripadaju) ima pravo da dobije informacije u vezi sa obradom njegovih ličnih podataka, uključujući informacije koje sadrže (7. deo člana 14. Zakona od 27. jula 2006. br. 152-FZ) :

1. potvrda činjenice obrade ličnih podataka od strane operatera;
2. pravni osnov i svrhe obrade ličnih podataka;
3. svrhe i metode obrade ličnih podataka koje koristi operater;
4. naziv i lokaciju operatera, podatke o osobama (osim zaposlenih u operateru) koje imaju pristup ličnim podacima ili kojima se lični podaci mogu otkriti na osnovu ugovora sa operaterom ili na osnovu saveznog zakona;
5. obrađene lične podatke koji se odnose na relevantni subjekt ličnih podataka, izvor njihovog prijema, osim ako saveznim zakonom nije predviđen drugačiji postupak za prikazivanje takvih podataka;
6. uslove obrade ličnih podataka, uključujući periode njihovog čuvanja;
7. postupak za ostvarivanje prava subjekta ličnih podataka predviđenih ovim saveznim zakonom;
8. informacije o završenim ili namjeravanim prekograničnim prijenosima podataka;
9. ime ili prezime, ime, patronim i adresa lica koje obrađuje lične podatke u ime operatera, ako je obrada tom licu poverena ili će biti poverena;
10. druge informacije predviđene saveznim zakonom ili drugim saveznim zakonima.

Tatiana Gezha,
Glavni stručni konsultant, TLS-PRAVO LLC

Od 1. jula 2017. godine značajno je povećana odgovornost za prekršaje prilikom obrade ličnih podataka. Federalnim zakonom br. 13-FZ od 02.07.2017. „O izmjenama i dopunama Zakona o upravnim prekršajima Ruske Federacije“ izmijenjen je član 13.11. Zakona o upravnim prekršajima Ruske Federacije. Novo izdanje sadrži diferenciranu skalu kazni i uvedeno je sedam novih prekršaja. Ne samo organizacije, već i zvaničnici će odgovarati. Osim onih organizacija koje obrađuju lične podatke pojedinačnih klijenata, ove promjene se svakako odnose na sve poslodavce koji obrađuju lične podatke svojih zaposlenih. Pogledat ćemo neke praktične situacije za koje poslodavac može biti odgovoran.

Lični podaci zaposlenih

U skladu sa čl. 3 Federalnog zakona od 27. jula 2006. br. 152-FZ „O ličnim podacima“, lični podaci su bilo koja informacija koja se odnosi na direktno ili indirektno identifikovanu osobu ili osobu koja se može identifikovati (subjekat ličnih podataka), tj. osoba po kojoj se može identifikovati. Uključujući: puno ime, godinu, mjesec, datum i mjesto rođenja, adresu, bračno stanje, obrazovanje, zanimanje, prihod i druge podatke.
Za identifikaciju osobe ponekad je dovoljno imati prezime, ime i patronim i neke dodatne informacije, na primjer, puno ime. i broj telefona. U ovom slučaju moguće je identifikovati osobu.
Ako, na primjer, imate samo adresu e-pošte i broj telefona, onda je malo vjerovatno da ćete moći identificirati osobu.
Najčešće lični podaci kojima rade kadrovi i računovođe su prezime, ime, ime, godina, mjesec, datum i mjesto rođenja, adresa, broj telefona, bračno stanje, stručna sprema, zanimanje.

Da li je prilikom konkurisanja za posao potrebno dobiti saglasnost za obradu ličnih podataka?

Prilikom zaključivanja ugovora o radu u skladu sa čl. 65 Zakona o radu Ruske Federacije, poslodavac prima od zaposlenika veliku listu ličnih podataka. To su, posebno: podaci o ličnim dokumentima, SNILS, radna knjižica, podaci o obrazovanju, vojna evidencija itd. Sve ovo su lični podaci zaposlenika.
S obzirom na to da je zaposlenik strana u ugovoru o radu, nije potrebno dobiti saglasnost za obradu njegovih ličnih podataka prilikom zaključivanja ugovora o radu (klauzula 5, član 6 Zakona br. 152-FZ od 27. jula 2006. godine „O Lični podaci.“) Na to ukazuje i Roskomnadzor u svojim Objašnjenjima „Pitanja u vezi sa obradom ličnih podataka zaposlenih, kandidata za upražnjena radna mjesta, kao i lica u kadrovskoj rezervi“.

Da li poslodavac ima pravo, nakon što je prilikom zaključivanja ugovora o radu dobio lične podatke radnika, da u svom ličnom dosijeu zadrži kopije pasoša, vojnih knjižica, diploma i sl.?

Ako kadrovska služba čuva kopije pasoša ili vojnih iskaznica u ličnim dosijeima zaposlenih, Roskomnadzor, prilikom vršenja inspekcije, može smatrati poslodavca odgovornim u skladu sa dijelom 1. čl. 13.11. Zakona o upravnim prekršajima Ruske Federacije za obradu prekomjernih ličnih podataka zaposlenika u slučajevima koji nisu predviđeni zakonodavstvom Ruske Federacije u oblasti ličnih podataka.
Za to se pravno lice može kazniti novčanom kaznom u iznosu od 30.000 do 50.000 rubalja, a službeno lice od 5.000 do 10.000 rubalja.
Ovaj zaključak potvrđuje i sudska praksa (vidi Rešenje Federalne antimonopolske službe Severno-Kavkaskog okruga od 21. aprila 2014. godine u predmetu br. A53-13327/2013).
U ovom rješenju, posebno se navodi: „...pravilno je zaključio žalbeni sud da su za identifikaciju lica prilikom konkurisanja za posao dovoljno prezime, ime i patronim, pod uslovom da lice predoči identifikacioni dokument koji sadrži sve potrebne informacije.
Čuvanje kopija pasoša, stranica vojne knjižice, izvoda iz matične knjige vjenčanih, izvoda iz matične knjige rođenih djeteta na radnom mjestu premašuje obim obrađenih ličnih podataka zaposlenog i nije predviđeno važećim zakonodavstvom, čime se krše prava i slobode građanin, smanjuje nivo prava i garancija zaposlenog,
suprotno saveznom zakonu.
Tokom revizije... donet je tačan zaključak da „organizacija<…>vrši obradu suvišnih ličnih podataka, u odnosu na one identifikovane za navedene svrhe njihove obrade, što predstavlja kršenje čl. 5. čl. 5 Zakona br. 152-FZ."

Da li je organizacija koja iznajmljuje kancelariju u zgradi u kojoj je na snazi ​​kontrola pristupa, prilikom slanja ličnih podataka zaposlenih trećoj strani radi izdavanja propusnica za ulazak u zgradu, kako bi od njih dobila dozvolu za prenos tih podataka trećem licu zabave?

U skladu sa čl. 88 Zakona o radu Ruske Federacije, poslodavac ne smije otkriti lične podatke zaposlenika trećoj strani bez pismenog pristanka zaposlenog, osim u slučajevima kada je to neophodno kako bi se spriječila opasnost po život i zdravlje zaposlenika, kao iu drugim slučajevima predviđenim Zakonom o radu Ruske Federacije ili drugim saveznim zakonima.
Rostrud u svom dopisu broj 1302-6-1 od 13. maja 2011. objašnjava da ukoliko organizacija koja nije strana radnog odnosa obrađuje lične podatke zaposlenih, prenos ličnih podataka zaposlenih ove organizacije za naknadno obrada mora biti obavljena u skladu sa ograničenjima utvrđenim čl. 88 Zakon o radu Ruske Federacije.
To znači da je za izdavanje propusnica od organizacije potrebno pribaviti dozvolu od zaposlenih da prenese svoje lične podatke trećoj strani – organizaciji treće strane.
Inače, dio 2 čl. 13.11 Zakon o upravnim prekršajima Ruske Federacije: obrada ličnih podataka bez pismene saglasnosti subjekta ličnih podataka za obradu njegovih ličnih podataka u slučajevima kada se takva saglasnost mora dobiti u skladu sa zakonodavstvom Ruske Federacije u ovoj oblasti ličnih podataka<…>povlači izricanje administrativne kazne<…>za službenike - od 10.000 do 20.000 rubalja; za pravna lica - od 15.000 do 75.000 rubalja.

Registracija lične kartice radnika

Prilikom zapošljavanja, poslodavac je dužan da izda ličnu kartu za zaposlenog na obrascu T-2. Da li je potrebno pribaviti saglasnost rođaka zaposlenog za obradu njihovih ličnih podataka?
U skladu sa Objašnjenjima Roskomnadzora, obrada ličnih podataka bliskih rođaka zaposlenog u obimu predviđenom jedinstvenim obrascem br. T-2, odobrenim Rezolucijom Državnog komiteta za statistiku Ruske Federacije od 5. januara , 2004 br. 1 „O odobravanju jedinstvenih obrazaca primarne računovodstvene dokumentacije za evidentiranje rada i njegovog plaćanja”, ili u slučajevima utvrđenim zakonodavstvom Ruske Federacije (primanje alimentacije, pristup državnim tajnama, izdavanje socijalnih beneficija) nije potrebno.
U drugim slučajevima, pribavljanje saglasnosti bliskih srodnika zaposlenog je obavezan uslov za obradu njegovih ličnih podataka, u suprotnom je moguće i odgovaranje u skladu sa delom 2 čl. 13.11 Zakon o upravnim prekršajima Ruske Federacije.

Osoblje i računovodstvo vrši treća strana. Da li je potrebno pribaviti saglasnost zaposlenih za obradu njihovih ličnih podataka?

U skladu sa objašnjenjima Roskomnadzora, prilikom angažovanja nezavisnih organizacija za vođenje kadrovskih i računovodstvenih evidencija, poslodavac je dužan da se pridržava uslova utvrđenih delom 3 čl. 6 Federalnog zakona „O ličnim podacima“, uključujući pribavljanje saglasnosti zaposlenih za prenos njihovih ličnih podataka. U suprotnom, poslodavac se može smatrati odgovornim u skladu sa dijelom 2. čl. 13.11 Zakon o upravnim prekršajima Ruske Federacije.

Šta mora biti naznačeno u saglasnosti za obradu ličnih podataka?

U skladu sa dijelom 2 čl. 13.11 Zakona o upravnim prekršajima Ruske Federacije, poslodavac može biti odgovoran za obradu ličnih podataka u suprotnosti sa zahtjevima utvrđenim zakonodavstvom Ruske Federacije u oblasti ličnih podataka za sastav informacija uključenih u pismeni pristanak subjekta ličnih podataka za obradu njegovih ličnih podataka.
Saglasnost zaposlenog za obradu ličnih podataka mora biti u pisanoj formi. Ima smisla da poslodavac izradi i odobri, kao aneks pravilnika o ličnim zaposlenima, obrazac saglasnosti zaposlenog za obradu i prenos njegovih ličnih podataka.
Uslovi za sadržaj pismene saglasnosti utvrđeni su delom 4 čl. 9 Zakona br. 152-FZ „O ličnim podacima“.

U saglasnosti mora biti navedeno:
Puno ime, adresa zaposlenog, detalji o njegovom ličnom dokumentu, uključujući datum izdavanja i podatke o organu koji ga je izdao;
po prijemu saglasnosti od zastupnika zaposlenog - njegovo puno ime, adresu, podatke o njegovom ličnom dokumentu, uključujući datum izdavanja i podatke o organu koji ga je izdao, podatke o punomoći ili drugom dokumentu koji potvrđuje ovlaštenja zastupnika ;
ime ili puno ime i adresu poslodavca;
svrha obrade ličnih podataka;
spisak ličnih podataka koji su predmet obrade;
PUNO IME. i adresu lica ili naziv organizacije koja obrađuje lične podatke u ime poslodavca, ako je tom licu ili organizaciji poverena;
spisak radnji sa ličnim podacima na koje je zaposlenik dao saglasnost, opšti opis metoda za njihovu obradu;
period tokom kojeg važi pristanak zaposlenog na obradu njegovih ličnih podataka i način opoziva pristanka;
potpis radnika.

Da li je potrebno izraditi uredbu o ličnim podacima zaposlenih?

U skladu sa čl. 87. Zakona o radu Ruske Federacije, postupak čuvanja i korištenja ličnih podataka zaposlenih utvrđuje poslodavac u skladu sa zahtjevima Zakona o radu Ruske Federacije i drugih saveznih zakona.
Poslodavac je dužan da utvrdi politiku organizacije u pogledu obrade ličnih podataka, kao i da donese lokalni akt kojim će se utvrditi postupak obrade, čuvanja i zaštite ličnih podataka zaposlenih (klauzula 2, tačka 1, član 18 Zakona br. 152- FZ “O ličnim podacima”).
To znači da poslodavac mora donijeti lokalni propis kojim će propisati cjelokupnu proceduru kojom se reguliše čuvanje i korištenje ličnih podataka, kao i obezbjeđenje zaštite potonjih od nezakonitog korištenja ili gubitka.
Zaposleni se prilikom potpisivanja moraju upoznati sa relevantnim aktom, kao i sa svojim pravima u oblasti zaštite podataka o ličnosti.
Potreba za odobravanjem takvog dokumenta potvrđuje sudska praksa (vidi, na primjer, Rezoluciju Federalne antimonopolske službe Moskovskog okruga od 26. oktobra 2006. br. KA-A40/10220-06).

Približna struktura pozicije može biti ovakva:

1) „Opšte odredbe” - u ovom odeljku treba da se naznači za koju svrhu se ovaj pravilnik donosi i koja pitanja reguliše;
2) „Osnovni koncepti. Sastav ličnih podataka zaposlenih” - ovdje treba navesti koji dokumenti u organizaciji sadrže lične podatke;
3) „Obrada ličnih podataka“ - u ovom delu treba navesti koji uslovi moraju biti ispunjeni prilikom obrade ličnih podataka zaposlenog;
4) „Prenos ličnih podataka“ - ovde treba navesti proceduru za prenos ličnih podataka zaposlenih u organizaciji, kao i trećim licima i državnim organima;
5) „Pristup ličnim podacima“ - ovaj odeljak treba da sadrži informacije o postupku pristupa ličnim podacima zaposlenih. Pristup se deli na interni (pružanje ličnih podataka pojedinim zaposlenima u organizaciji) i eksterni (prenos ličnih podataka predstavnicima drugih organizacija i državnih organa);
6) “Odgovornost za kršenje pravila koja regulišu obradu i zaštitu ličnih podataka” - u ovom odeljku potrebno je navesti ko je u organizaciji odgovoran za kršenje pravila za čuvanje i korišćenje ličnih podataka.
Nepostojanje procedure za čuvanje i korišćenje ličnih podataka zaposlenih razvijenih u organizaciji smatra se kršenjem uslova iz čl. 87 Zakona o radu Ruske Federacije i, shodno tome, čini upravni prekršaj iz čl. 5.27 Zakon o upravnim prekršajima Ruske Federacije. (vidi, na primjer, Odluku Vrhovnog suda Republike Karelije od 11. aprila 2014. godine u predmetu br. 21-153/2014).

Od 1. jula 2017. godine pojačana je administrativna odgovornost za kršenje zakona iz oblasti ličnih podataka i njihove obrade.

PAŽNJA!

Trenutno su vladine agencije vrlo aktivne u provjeravanju interneta, kazne su značajne i obračunavaju se ukupno za svaki prekršaj.

Pažljivo proučite ovaj članak ili koristite naše usluge za obavljanje svih potrebnih aktivnosti.

Federalni zakon od 02.07.2017. N 13-FZ "O izmjenama i dopunama Zakona o upravnim prekršajima Ruske Federacije"

U tu svrhu, novo izdanje člana 13.11 Zakona o upravnim prekršajima Ruske Federacije proširilo je listu prekršaja i povećalo iznos novčanih kazni.

Stoga je posebno uspostavljena administrativna odgovornost za:

Obrada ličnih podataka u slučajevima koji nisu predviđeni zakonima iz oblasti ličnih podataka, odnosno obrada ličnih podataka koja je nespojiva sa svrhom prikupljanja ličnih podataka, ako te radnje ne sadrže krivično djelo (povlači opomenu ili novčanu kaznu). građani u iznosu od 1.000 rubalja do 3.000 rubalja, za službenike - od 5.000 rubalja do 10.000 rubalja, za pravna lica - od 30.000 rubalja do 50.000 rubalja);

Obrada ličnih podataka bez pismene saglasnosti subjekta ličnih podataka za obradu njegovih ličnih podataka u slučajevima kada se takva saglasnost mora dobiti u skladu sa zakonom, ako te radnje ne sadrže krivično delo, ili obrada ličnih podataka u suprotnosti sa zakonodavstvom utvrđenim u oblasti ličnih podataka ovi zahtevi za sastav informacija uključenih u pisani pristanak subjekta ličnih podataka za obradu njegovih ličnih podataka;

Neispunjavanje obaveze od strane operatera propisane zakonima iz oblasti ličnih podataka da objavi ili na drugi način omogući neograničen pristup dokumentu koji definiše politiku operatera u pogledu obrade ličnih podataka, odnosno informacije o implementiranim zahtevima za zaštitu ličnih podataka. podaci;

Neispunjavanje od strane operatera obaveze predviđene zakonodavstvom u oblasti ličnih podataka da subjektu ličnih podataka pruži informacije u vezi sa obradom njegovih ličnih podataka.

Sastavljanje protokola o upravnim predmetima ove kategorije je odgovornost službenika Roskomnadzora (ranije je slučajeve ove kategorije pokretao tužilac).

U prethodnoj verziji člana 13.11 Zakona o upravnim prekršajima Ruske Federacije, odgovornost je utvrđena samo za kršenje postupka prikupljanja, skladištenja, korišćenja ili distribucije informacija o građanima (lični podaci), koji je predviđao upozorenje ili izricanje novčane kazne za građane u iznosu od 300 rubalja do 500 rubalja, za službenike - od 500 rubalja do 1000 rubalja, za pravna lica - od 5000 rubalja do 10000 rubalja.

Kako se pridržavati Zakona o ličnim podacima iz 2017

Pažnja vlasnicima sajtova! Od 1. jula kazne za kršenje zakona o ličnim podacima povećat će se na 75 hiljada rubalja (za jedno otkriveno kršenje).

Imate li kontakt obrazac na svojoj web stranici?

Dakle, najvjerovatnije se ovo odnosi i na vas. Tužioci već kažnjavaju kompanije, a sudovi ih podržavaju. Osim novčanih kazni u korist države zbog kršenja pravila obrade ličnih podataka, može se izreći i naknada moralne štete i druga odgovornost.

Sigurnosna pravila pri radu sa ličnim podacima

U februaru 2017. godine izvršene su izmjene i dopune člana 13.11 Zakonika o upravnim prekršajima u vezi sa kršenjem zakona o ličnim podacima, koji će stupiti na snagu 1. jula. Inovacije će uticati na sve koji primaju, prikupljaju, obrađuju ili čuvaju lične podatke.

Kazne su desetostruko povećane i podijeljene su prema vrsti prekršaja. Dakle, ako politika privatnosti nije objavljena na web stranici, kazna za pojedinačnog poduzetnika iznosit će 10 hiljada rubalja, a za kompaniju - 30 hiljada. Novčanom kaznom do 75 hiljada rubalja kaznit će se pravno lice ako web stranica obrađuje lične podatke klijenta internetske prodavnice ili pretplatnika na informativni resurs bez njegovog pristanka (direktor kompanije ili individualni preduzetnik će imati platiti do 20 hiljada).

itd. Ukoliko se evidentira više prekršaja, biće i nekoliko novčanih kazni.

sta da radim? Hitno dovedite svoje stranice u red! Provjere su već počele

Sada samo tužilaštvo ima pravo izdavati protokole o prekršajima, a iznos kazne, bez obzira na vrstu prekršaja, je 10 hiljada rubalja za pravno lice i 1000 rubalja za fizičkog preduzetnika ili direktora. Od 1. jula Roskomnadzor će izdavati protokole po višim stopama i, po svemu sudeći, revnije.

Kako saznati da li ste isti operater ličnih podataka?

Lični podaci prema Federalnom zakonu “O ličnim podacima” su svi podaci o osobi po kojima se ona može identifikovati. Istovremeno, zakon ne sadrži spisak vrsta takvih podataka, pa se mora poći od opšte logike zakona i prakse i „pratiti vodu“. Na primjer, korištenjem korisničkog imena ili login-a nemoguće je razumjeti o kakvoj se osobi radi, ali po imenu i broju telefona ili punim imenom i e-poštom već možete na neki način identificirati osobu, što znači da dobijanje takve kombinacije već se može definisati kao prikupljanje i skladištenje ličnih podataka.

Dakle, najvjerovatnije ste već operater ličnih podataka ako na neki način primate od ljudi, na primjer, sljedeće informacije (u bilo kojoj kombinaciji): prezime, ime, prezime, bilo koju fizičku adresu, e-mail, broj telefona, datum ili mjesto rođenja, fotografija, link na ličnu web stranicu ili društvenu mrežu, zanimanje, obrazovanje, nivo prihoda, bračni status itd.

U praksi to znači da su svi vlasnici sajtova koji sadrže lične naloge, formulare za povratne informacije, pretplatu ili registraciju, upitnike itd., jednom rečju, popune formulare gde posetilac mora da ostavi svoje podatke, operateri ličnih podataka. Čak i ako stranica ima samo sada popularne tipke za naručivanje povratnog poziva (korisnik ostavlja ime i broj telefona) ili slanje poruke (ime i e-mail adresa), to se također može kvalificirati kao obrada osobnih podataka.

Da li se unosi u moj telefonski imenik takođe smatraju prikupljanjem i skladištenjem ličnih podataka?

br. Podaci koje pohranjujete u lične i porodične svrhe nisu obuhvaćeni ovim zakonom. Ali ako prenesete ove podatke osobi ili organizaciji koja je, prema ovom zakonu, operater ličnih podataka ili objavite informacije, to će se smatrati kršenjem.

Kako raditi sa ličnim podacima bez kršenja zakona?

Najmanje sljedećih 10 pravila se moraju poštovati i poštovati:

• objavite u javnom domenu sve informacije o vašim principima interakcije i rada sa ličnim podacima klijenata i posetilaca vašeg preduzeća ili resursa;
• zahtijevati samo podatke koji su potrebni za svaku konkretnu svrhu. Na primjer, ne možete tražiti podatke iz pasoša ili kućnu adresu za slanje e-pošte;
• Prije primanja osobnih podataka koji se namjeravaju objaviti u javno dostupnim izvorima, pribavite pismeni pristanak svakog posjetitelja, klijenta ili pretplatnika za njihovu obradu, pohranu i distribuciju. Ukoliko podaci nisu objavljeni, već se koriste isključivo za obradu unutar kompanije, potrebno je izričito ograničiti mogućnost prijenosa osobnih podataka vama bez pristanka na njihovu obradu;
• koristiti podatke samo u one svrhe na koje ste upozorili osobu i koje su navedene u dokumentima koje ste objavili u vezi sa obradom ličnih podataka;
• obavijestite, na zahtjev osobe, koje podatke imate o njemu, kako i zašto se obrađuju i kome ste ih prenijeli;
• brisanje podataka na prvi zahtjev osobe čiji su lični podaci pohranjeni u vašoj bazi podataka;
• čuvajte baze podataka na sigurnom mjestu, zaštitite ih od hakovanja i curenja (zahtjevi su određeni zakonom!);
• imenovati osobu odgovornu za obezbjeđivanje sigurnosti ličnih podataka i poštovanje određenih pravila federalnog zakona N152 za ​​rad sa ličnim podacima;
• obučiti zaposlene za rad sa ličnim podacima;
• registrirati kod Roskomnadzora.

Prema Zakonu, obaveza dostavljanja dokaza o pribavljanju saglasnosti subjekta ličnih podataka za obradu njegovih ličnih podataka ili dokaza o postojanju osnova navedenih u Zakonu je na operatoru.

Zašto bi se vlasnik stranice registrovao?

Po zakonu, operateri ličnih podataka moraju obavijestiti Roskomnadzor. Štaviše, to se mora učiniti prije početka obrade podataka ili ubrzo nakon početka ove aktivnosti. Roskomnadzor će unijeti podatke o operateru u Registar operatera ličnih podataka.

Obaveštenje se ne može dostaviti ako:

• Obrađuju se samo podaci o zaposlenima;
• lični podaci pribavljeni su samo za izvršenje određenog ugovora sa određenom osobom i neće se distribuirati ili koristiti na bilo koji drugi način;
• Pohranjujete samo puno ime klijenta;
• podatke objavljuje u javnom domenu sama osoba ili neko u njeno ime.

Šta ako vaša stranica sadrži obrasce i omogućava vam primanje ličnih podataka?

Ako vaša web stranica omogućava primanje ličnih podataka, a vi još niste ispunili gore navedene uslove, tada je možda već zabilježeno kršenje i možete biti kažnjeni. Čak i ako vaš sajt održava druga kompanija ili spoljni stručnjak, kazna će biti izrečena kompaniji ili individualnom preduzetniku koji je na sajtu naveden kao vlasnik, a samim tim i primalac ličnih podataka.

Kako izbjeći moguće probleme (minimalno potreban program):
1) Pripremite javne dokumente i postavite ih na sajt tako da budu dostupni sa bilo koje stranice vašeg sajta. To može biti obavijest, korisnički ugovor, pravila prodaje ili politika u vezi sa obradom ličnih podataka.
Kako god da se zove ovaj dokument, on mora sadržavati pravila i uslove za obradu ličnih podataka.

2) Nemojte koristiti dokumente drugih kompanija bez obrade. Mogu se koristiti kao predložak, ali morate navesti vlastitu listu podataka i svrhe korištenja ličnih podataka. Ono što štampariji treba da naruči ili online prodavnici za isporuku robe neće biti potrebno za distribuciju putem e-pošte. Traženje nepotrebnih podataka može se smatrati kršenjem zakona i može rezultirati novčanom kaznom.

3) Implementirati softversko rješenje koje garantuje nedvosmisleno utvrđivanje da je lice pristalo na obradu ličnih podataka. To može biti potvrdni okvir u obrascu za registraciju koji je potrebno označiti ili dugme za pristanak na uslove korištenja, bez aktivacije kojeg osoba neće moći poslati poruku ili naručiti.
Da biste bili sigurni, možete odštampati snimke ekrana web stranica sa obrascima ovjerenim od strane bilježnika, komentarišući ih pratećim tekstom (na primjer, „u vrijeme ovjere, gumbi navedeni na ovom ispisu radili su u skladu s funkcionalnošću opisano u preambuli i bez njihove aktivacije slanje podataka bilo je tehnički nemoguće”).

4) Pripremiti interne akte kojima se uređuju pravila čuvanja i obrade ličnih podataka, kao i odgovornosti zaposlenih koji im imaju pristup.

5) Pošaljite obaveštenje Roskomnadzoru, ako sajt potpada pod uslove Zakona. Ako ste potpuno sigurni da slanje obavještenja nije potrebno, pripremite svu dokumentaciju na način da bude jasno razumljiva mogućim inspektorima. Na primjer, u politici rada s ličnim podacima možete naznačiti da se oni koriste samo za izvršenje određenih ugovora ili u dokumentaciji zabilježiti da su podaci otvoreni za javni pristup na zahtjev korisnika (ali imajte na umu da Zakon odgovornost za dokazivanje ove činjenice stavlja na operatera).

1. jula 2017. godine stupile su na snagu strože kazne u oblasti kršenja zakona o ličnim podacima (član 13.11 Zakona o upravnim prekršajima Ruske Federacije). Za pravna lica, kazne će se povećati sa 10.000 na 75.000 rubalja.

Na koga se ovo odnosi?

Ovaj članak se odnosi na kompaniju ako:

• Na web stranici postoji obrazac za prijavu ili lični račun.
• Marketinški stručnjaci ili menadžeri koriste alate kao što su e-mail poruke, SMS poruke i pozivanje baze klijenata.
• Baza podataka klijenata sa ličnim podacima pohranjena je u nekom obliku.

One. Ova norma se odnosi na skoro sva postojeća preduzeća. Osim toga, zakon se primjenjuje i na poslodavce koji primaju informacije od zaposlenih na osnovu ugovora o radu i građanskih ugovora.

Šta treba da radimo?

Registrirajte se kod ROSKOMNADZOR-a

Ako obrađujete lične podatke (u daljem tekstu PD) u svrhe:

• Ispunjavati obaveze iz ugovora i ne distribuirati ili prenositi PD trećim licima bez saglasnosti subjekta PD-a.
• Organiziranje jednokratne propusnice PD-a za teritoriju na kojoj se operater nalazi.
• Usklađenost sa zakonima o radu.
• I ako obrađujete javno dostupne podatke.

Ova tačka nije za vas, možete preći na sledeću.

Ako koristite alate za slanje e-pošte ili SMS-a, redovno zovite klijente itd. — tada se trebate registrovati u registar operatera koji obrađuju lične podatke na web stranici Roskomnadzora. Ova procedura je besplatna. Istina, niko ne garantuje da prikupljenu bazu operatera Roskomnadzor neće koristiti za sistematsku provjeru najnovijih zakonskih zahtjeva.

Poštujte uslove za obradu ličnih podataka, i to:

• Lične podatke obrađivati ​​samo u kompatibilne svrhe za prikupljanje ovih podataka, tj. obrada podataka treba da bude samo u predviđenu svrhu (na primjer, kada se registrujete na vašem ličnom računu, trebali biste prikupljati podatke o pasošu samo ako to od vas zahtijeva zakonodavstvo industrije).
• Dobiti saglasnost za korištenje ličnih podataka.
• Objaviti u javnom domenu politiku obrade PD i informacije o implementiranim zahtjevima za zaštitu PD.
• Obavještavati klijente (na njihov zahtjev) o tome kako se koriste (obrađuju) njihovi lični podaci.
• Ispunjavanje zahtjeva korisnika za pojašnjenje ličnih podataka, njihovo blokiranje ili uništavanje. Ovo je neophodno kada je PI nepotpun, zastareo, netačan, nezakonito dobijen ili nije potreban za navedenu svrhu obrade.
• Osigurati sigurnost materijalnih medija ličnih podataka, isključujući neovlašteni pristup, uništavanje, modificiranje, blokiranje, kopiranje itd.
• Čuvajte lične podatke na teritoriji Ruske Federacije.

Osigurajte sigurnost prijenosa i skladištenja podataka

Jedan od glavnih zahtjeva novog zakona je osiguranje sigurnosti prijenosa, čuvanja i korištenja ličnih podataka. Ali u tekstu članka zakonodavci su se ograničili na opšte formulacije, stavljajući vezu na preporuke FSB-a

Pokušajmo to detaljnije shvatiti. Cijeli proces prijenosa i skladištenja podataka može se podijeliti u 4 zone.

Zona 1

Kada korisnik posjeti vašu web stranicu i ispuni obrazac za prijavu, registruje se ili prijavi na svoj lični nalog, njegovi lični podaci se šalju na server vaše web stranice. Ako se to dogodi preko nezaštićenog http protokola, posebno u otvorenim wi-fi mrežama, napadači relativno lako presreću podatke.

Problem se može riješiti postavljanjem sigurnog https protokola na vašoj domeni. Nakon ove procedure, podaci se prenose u šifriranom obliku i manje su podložni presretanju.

Zona 2

Svi lični podaci korisnika se prenose na server (hosting) Vaše web stranice.

Kako zaštititi ovo područje:

• Potpišite ugovor o neotkrivanju podataka sa zaposlenim odgovornim za administriranje i finalizaciju stranice.
• Naložite da se CMS i lozinke za hosting pohranjuju u šifriranom obliku.
• Obezbedite zaštitu od brute force hakovanja (brute force lozinke) pristupa hostingu i CMS-u.

Zona 3

Sa servera vaše web stranice podaci se obično prenose u CRM sistem (informacioni sistem ličnih podataka, ISPD). Ova zona obično nije podložna napadima, ali također mora biti zaštićena šifriranjem prometa korištenjem certificiranih kriptografskih alata za sigurnost informacija.

Zona 4

Direktna zaštita vašeg servera na kojem je raspoređen CRM sistem. Ova zona će biti zaštićena:

• Koristiti mjere sigurnosti informacija koje su prošle proceduru ocjene usklađenosti u skladu sa utvrđenom procedurom.
• Odredite krug zaposlenih koji rade sa CRM sistemom.
• Odredite nivoe pristupa sistemu.
• Potpišite s njima ugovor o neotkrivanju podataka.
• Zahtijevajte da se lozinke pohranjuju u šifriranom obliku.

Dobivanje saglasnosti za korištenje ličnih podataka

Pristanak korisnika može se dobiti na dva načina - pismeno na papiru i elektronski. Razmotrimo drugu metodu, jer je jednostavnija i češće se koristi.

Dobijanje saglasnosti može se podijeliti na dva nivoa

1. Saglasnost za obradu samo u obimu potrebnom za pružanje usluga (ispunjenje uslova ugovora),
2. Saglasnost za dalju komercijalnu upotrebu podataka (poštanske pošiljke i sl.).

Obično u prvom slučaju, kao izraz pristanka, korisnik koristi kvačicu u "checkboxu", ispod kojeg se nalazi link na stranicu (ili tekst) politika povjerljivih podataka kompanije.

Detaljno je opisano da se podaci prikupljaju samo u svrhu ispunjenja ugovora, a označavanje polja je obavezno po zakonu. Dalje popunjavanje obrasca za registraciju (prijave) je nemoguće bez označavanja polja, što će, najvjerovatnije, biti dokaz o saglasnosti.

U drugom slučaju (komercijalno korištenje podataka) preporučljivo je potvrditi pristanak korištenjem sistema ddvostruka prijava, u kojem korisnik ne samo da pristaje na obradu ličnih podataka navođenjem svoje e-mail adrese i na taj način pokazuje interesovanje za to, već i šalje potvrdu sa navedene adrese.

Kombinirajte prvi i drugi slučaj veoma nepoželjno. Tada ćete u svojoj politici korištenja povjerljivih podataka morati navesti da ćete te podatke koristiti, uključujući u marketinške svrhe. A to je u suprotnosti sa zakonom o potrebi prikupljanja samo onih podataka koji su neophodni u sklopu izvršenja ugovora ili pružanja usluge.

Na osnovu gore navedenog, sljedeći algoritam bi bio normalna praksa:

• Prilikom popunjavanja obrasca za prijavu/registraciju na web stranici, korisnik označi prvu kućicu - pristaje na obradu osobnih podataka samo u mjeri potrebnoj za ispunjenje ugovora - i klikne na dugme "Pošalji" ili "Registriraj se".
• Nakon toga mu se prikazuje ekran na kojem ga obećanje o svim vrstama pogodnosti mami da pristane na komercijalnu upotrebu njegovih podataka.

Dobivanje saglasnosti od postojeće baze klijenata

Ako se ranije niste potrudili da dobijete saglasnost, morate to učiniti. Prilikom slanja e-pošte obično se koriste „pisma dobrodošlice“. Takvo pismo se šalje u postojeću bazu podataka i sadrži:

• Tekst poruke klijentu. Nešto poput „Trudili smo se da vam ne šaljemo spam, već da šaljemo samo potrebne informacije. Trudićemo se i dalje, ali zakon nas obavezuje da dobijemo vašu saglasnost za slanje biltena."
• Dugme “Hvala, pošalji”.
• Dugme za odjavu

Izuzeci za izvore prikupljanja ličnih podataka

Ako ste svoju bazu podataka prikupili iz otvorenih izvora, a oni uključuju društvene mreže. mreže, adresari, korporativne web stranice itd., onda nema potrebe za brigom - zakonski zahtjevi se ne odnose na njih.

Kako korisnik može ukloniti svoje podatke iz baze podataka

Ako vas muče svakodnevni pozivi ili SMS-ovi kompanija koje čak i ne poznajete, ili svakodnevne e-poruke zatrpaju vaš inbox, neće biti lako odustati.

Zakonodavci su ponudili dvije opcije da prisile kompaniju da ukloni vaše podatke iz svoje baze podataka:

• Pošaljite Vaš zahtjev na pravnu adresu kompanije u papirnom obliku poštom.
• Ili pošaljite zahtjev elektronski, ali za to morate pribaviti kvalifikovani elektronski digitalni potpis. Ali ovo nije brzo i nije besplatno.

Informacije o temi

• Služba za pripremu dokumenata u skladu sa zahtevima Zakona o zaštiti podataka o ličnosti (Savezni zakon 152)
• Služba za implementaciju sistema obrade ličnih podataka u skladu sa zahtjevima Uredbe (EU) N 2016/679 (GDPR)