Alates 1. juulist on kasvanud trahvid töötajate isikuandmete töötlemise rikkumise eest, mistõttu tasub dokumentides asjad korda seada ja personali juhendada. Lisateavet isikuandmetega töötamise kohta alates 1. juulist 2017 loe sellest artiklist.

Isiklik informatsioon - see on mis tahes teave, mis on seotud konkreetse töötajaga. Näiteks täisnimi, sünniaeg ja -koht, elukoht jne. Sel juhul tegutseb tööandja – organisatsioon või üksikettevõtja andmeoperaator mida ta saab töötaja kohta teada ja on kohustatud seda teavet säilitama kehtestatud korras.

Isikuandmeid edastavad tööandjale ainult töötajad ise. Hiljem võetakse selline teave tavaliselt kokku isiklikesse kaartidesse või failidesse. Kui isikuandmeid on võimalik saada kolmandatelt isikutelt, tuleb sellest töötajat teavitada ja saada temalt kirjalik nõusolek (Vene Föderatsiooni töökoodeksi artikli 86 punkt 3, osa 1, artikkel 86).

Tööandjatel ei ole õigust saada ja töödelda isikuandmeid, mis ei ole seotud töötegevusega, näiteks teavet isikliku või pereelu kohta. Ja isikuandmete levitamine ja avaldamine kolmandatele isikutele on võimalik ainult töötaja nõusolekul (27. juuli 2006. aasta föderaalseaduse artikkel 7 nr 152-FZ).

Alates 1. juulist 2017 kehtestati uued trahvid isikuandmete töötlemise ja kaitse nõuete rikkumise eest. Seetõttu on vaja dokumentides asjad korda seada ja alluvaid juhendada, et ettevõte ja pearaamatupidaja isiklikult trahvidest hoiduksid.

Isikuandmete töötlemine alates 1. juulist 2017. a

Tööandja põhiülesanne on kaitsta töötajate isikuandmeid. Isikuandmete saamise, töötlemise, edastamise ja säilitamise kord peab olema sätestatud organisatsiooni kohalikus seaduses, näiteks töötajate isikuandmete töötlemise määrustes (Vene Föderatsiooni tööseadustiku artikkel 8, 87, seaduse nr 152-FZ punkt 2, 1. osa, artikkel 18.1) .

Organisatsioon peab ametlikult määrama isikuandmetega töötamise eest vastutava töötaja (Vene Föderatsiooni tööseadustiku artikli 88 5. osa). See võib olla näiteks personaliosakonna töötaja.

Organisatsioon peab rakendama vajalikke meetmeid isikuandmete kaitsmiseks volitamata või juhusliku juurdepääsu, hävitamise, muutmise, blokeerimise, kopeerimise, edastamise, levitamise eest. Isikuandmete töötlemise turvameetmed on üksikasjalikult sätestatud seaduse nr 152-FZ artiklis 19. Pidagem neid meeles.

Isikuandmete turvalisuse tagamiseks on vaja kiirelt tuvastada töötlemise käigus turvaohud, rakendada usaldusväärseid turvameetmeid ja hinnata kaitse tõhusust, võtta kasutusele meetmed ebaseadusliku andmetele juurdepääsu tõkestamiseks, kehtestada andmetele juurdepääsu reeglid, registreerida ja pidada arvestust. kõigist andmetega töötamisel tehtud toimingutest.

Laiendatud alates 1. juulist 2017 tööandja haldusvastutusele võtmise aluste loetelu , kui selgub, et andmetega töötamise järjekorda on rikutud. Muudatused viidi sisse 02.07.2017 föderaalseadusega nr 13-FZ. Räägime teile neist lähemalt.

Üht tüüpi haldusvastutuse asemel, mis oli enne. Nüüd näeb Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikkel 13.11 ette seitse punkti. Neist kuus puudutavad organisatsioone ja üksikettevõtjaid. See tähendab, et tööandjate erinevate rikkumiste eest isikuandmetega töötamisel võib kohaldada erinevaid trahve.

Näiteid vigadest isikuandmete töötlemisel alates 01.07.2017

Jättis lauale isikuandmetega dokumendid . Trahv selle rikkumise eest on ettevõttele 50 tuhat rubla, pearaamatupidajale 10 tuhat rubla (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 6. osa). Töötaja dokumente ei tohiks jätta avalikule väljapanekule. Kõrvalised saavad kasutada teavet töötaja kohta.

Isikuandmetega töötamise kord on vaja välja töötada. Näiteks on keelatud isikuandmetega pabereid lauale jätta ja kontorist välja viia. Ja hoidke dokumente seifis või kapis, kus juurdepääs neile on piiratud.

Töötajale tema andmetega dokumente ei antud . Rikkumine on ka isikuandmete peitmine inimese eest. Trahv - ettevõttele 50 tuhat rubla, pearaamatupidajale 5 tuhat rubla (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikkel 5.27).

Esitage töötajatele palgalehed. Selleks ei pea te nüüd isegi paberile raha kulutama. Saate voldikuid saata e-posti teel või postitades sõnumi oma organisatsiooni ettevõtte veebisaidile. Teave tööstaaži kohta väljastada 5 kalendripäeva jooksul alates töötaja taotlemise hetkest, samuti vallandamise päeval.

Vanu andmeid ei värskendatud . Trahv on ettevõttele 45 tuhat rubla, pearaamatupidajale 10 tuhat rubla (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 5. osa). Töötaja andmed võivad muutuda, mistõttu tuleb neid töötaja soovil uuendada. Näiteks töötaja abiellus ja muutis oma perekonnanime, aadressi või konto andmeid. Kui ettevõte infot ei uuenda, rikub ta andmetega töötamise reegleid.

Kui töötaja toob dokumente, sisestage koheselt andmebaasi uus teave. See muudab aruannete täitmise lihtsamaks.

Info stendile pandud . Trahv - ettevõttele 75 tuhat rubla, pearaamatupidajale 20 tuhat rubla (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 2. osa). Isikuandmeid võidakse avaldada ka kogemata. Näiteks asetas pearaamatupidaja stendile näidisena töötaja vara mahaarvamise avalduse koopia. Dokument sisaldab isikuandmeid, seega on tegemist rikkumisega. Töötaja ei andnud nõusolekut tema kohta käiva teabe avalikustamiseks. Samuti ei saa te häbilauale teavet postitada. Selleks on vaja küsida töötaja nõusolekut.

Ärge avaldage töötaja teavet ilma nõusolekuta. Kui teil on vaja näidis postitada, kasutage fiktiivset teavet.

Esitati töötaja nimi, aadress või telefoninumber . Rikkumise hind on 50 tuhat rubla ettevõtte kohta, 10 tuhat rubla pearaamatupidaja kohta (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 1. osa). Töötajate teavet ei tohi ilma nõusolekuta jagada kolmandate osapooltega, näiteks pankade või inkassobüroodega. Info jagamiseks küsi töötajalt nõusolekut.

Teavet töötaja kohta on võimalik edastada teise organisatsiooni või “arsti” nõudmisel ainult siis, kui töötaja on andnud talle teabe saamiseks volikirja. Töötaja nõusolek andmete töötlemiseks ei ole vajalik ainult seaduses sätestatud juhtudel. Näiteks kui töötaja ostab ettevõttest midagi ja soovib saada elektroonilist kviitungit posti või telefoni teel (Venemaa telekommunikatsiooni- ja makiri 7. juulist 2017 nr P11-15054-OG).

Alates 1. juulist 2017 on oluliselt karmistatud vastutust isikute isikuandmetega suhtlemisel rikkumiste eest. See tuleneb föderaalseaduse 02.07.2017 nr 13-FZ sätetest). Muudatused puudutavad eranditult kõiki tööandjaid, kes on seotud töötajate ja üksikute töövõtjate isikuandmete töötlemisega. Veelgi enam, võime öelda, et muudatused kehtivad peaaegu kogu äriringkonnale, kes suhtleb üksikisikute isikuandmetega (näiteks külastajate isikuandmeid koguvate veebisaitide omanikud). Kuidas muutusteks valmistuda? Kas trahvid suurenevad? Kes tuvastab rikkumisi isikuandmete töötlemisel? Selgitame välja.

Isikuandmed: eriteave

Töötajate isikuandmed on mis tahes teave, mis on tööandjale vajalik seoses töösuhetega ja konkreetse töötajaga (27. juuli 2006. aasta föderaalseaduse nr 152-FZ "Isikuandmete kohta" artikkel 1, artikkel 3).

Tööandja (organisatsiooni või üksikettevõtja) jaoks koondatakse töötajate isikuandmed kõige sagedamini nende isikukaartidesse ja isikutoimikutesse. Samas teab pea iga personalijuht või personalispetsialist, et isikuandmeid saab isiklikult vaid töötajatelt. Kui isikuandmeid saab hankida ainult kolmandatelt isikutelt, kohustab Venemaa seadusandlust töötajat sellest teavitama ja saama temalt kirjaliku nõusoleku (Vene Föderatsiooni tööseadustiku artikli 86 esimese osa punkt 3).

Tööandjal ei ole õigust saada ja töödelda isikuandmeid, mis ei ole otseselt seotud isiku töötegevusega. See tähendab, et on võimatu koguda teavet näiteks töötajate usutunnistuse kohta. Lõppude lõpuks on selline teave isiklik või perekonnasaladus ja seda ei saa mingil viisil seostada tööülesannete täitmisega (Vene Föderatsiooni tööseadustiku artikli 86 esimese osa punkt 4).

Pärast isikuandmete saamist on tööandja seadusest tulenevalt kohustatud neid ilma töötaja nõusolekuta mitte levitama ega kolmandatele isikutele avaldama (27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikkel 7).

Isikuandmeid võib mõista kui mis tahes teavet, mis on otseselt või kaudselt seotud konkreetse üksikisikuga (isikuandmete subjekt) - 27. juuli 2006. aasta föderaalseaduse nr 152-FZ artikli 3 lõige 1. Sellised andmed võivad olla näiteks perekonnanimi, eesnimi, isanimi, sünniaeg ja -koht, elukoht jne.

Kuidas on tööandja kohustatud isikuandmeid kaitsma

Isikuandmete kaitsmiseks ja neile juurdepääsu piiramiseks peab tööandja tagama nende kaitseks kvaliteetse ja kaasaegse süsteemi. Kuidas seda täpselt teha? Iga tööandja otsustab selle küsimuse iseseisvalt. Samal ajal peab isikuandmete saamise, töötlemise, edastamise ja säilitamise kord olema sätestatud organisatsiooni kohalikus seaduses, näiteks töötajate isikuandmete töötlemise määrustes (tööseadustiku artikkel 8, 87). Vene Föderatsiooni 27. juuli 2006. aasta föderaalseaduse nr 152-FZ punkt 2, 1. osa, artikkel 18.1).

Samuti peab tööandja ametlikult määrama töötaja, kes vastutab isikuandmetega töötamise eest (Vene Föderatsiooni tööseadustiku artikli 88 5. osa). See võib olla näiteks personaliosakonna töötaja, kes suhtleb isiklike failidega, saab töötlemiseks töötaja nõusoleku, hooldab töötaja kaarte jne.

Tööandja kontrolle isikuandmete töötlemise kohta viivad läbi Roskomnadzori osakonnad. Venemaa telekommunikatsiooni- ja ma14. novembri 2011. aasta korraldusega nr 312 kiideti heaks halduseeskirjad Roskomnadzori poolt riikliku kontrolli (järelevalve) teostamise funktsioonide täitmiseks.

Millised kohustused kehtivad tööandjatele

Töötajate isikuandmete saamise, töötlemise, säilitamise ja kaitsmise korra rikkumise eest on ette nähtud distsiplinaar-, materiaalne, haldus- ja kriminaalvastutus (Vene Föderatsiooni töökoodeksi artikkel 90, 1. osa, Vene Föderatsiooni föderaalseaduse artikkel 24). 27. juuli 2006 nr 152-FZ). Vaatame kõiki neid vastutuse liike.

Distsiplinaarvastutus

Töötajad, kes on töösuhetest tulenevalt kohustatud järgima isikuandmetega töötamise reegleid, kuid on neid rikkunud (Vene Föderatsiooni tööseadustiku artikkel 192), võivad isikuandmetega töötamise rikkumiste eest vastutusele võtta. See tähendab, et saate vastutusele võtta näiteks personalijuhi, kellele vastav töö on usaldatud. Isikuandmete kogumise, töötlemise ja säilitamise distsiplinaarsüüteo eest võib tööandja karistada oma töötajat, kohaldades tema suhtes ühte järgmistest karistustest (Vene Föderatsiooni tööseadustiku artikli 192 1. osa):

• kommentaar;
• noomida;
• vallandamine.

Materiaalne vastutus

Töötaja rahaline vastutus võib tekkida, kui organisatsiooni isikuandmetega töötamise reeglite rikkumisega tekitatakse otsene tegelik kahju (Vene Föderatsiooni tööseadustiku artikkel 238). Oletame, et personaliosakonna vastutav töötaja pani toime jämeda rikkumise - levitas töötajate isikuandmeid Internetis. Töötajad, saades sellest teada, esitasid tööandja vastu hagi, mis otsustas: "maksma vigastatud töötajatele rahalist hüvitist - igaüks 50 000 rubla." Sellises olukorras on tööandjal võimalus panna süüdlasele personaliosakonna töötajale tema keskmise kuupalga piires piiratud rahaline vastutus (Vene Föderatsiooni tööseadustiku artikkel 241). Tekitatud kahju saab sisse nõuda juhataja korraldusel hiljemalt ühe kuu jooksul alates töötaja poolt tekitatud kahju suuruse lõpliku kindlaksmääramise päevast. Kui kuutähtaeg on möödas, tuleb kahju hüvitada kohtu kaudu. See kord on sätestatud Vene Föderatsiooni tööseadustiku artiklis 248.

Loe ka Kes peaks läbi viima tsiviilkaitse- ja hädaolukorra koolitust?

Täieliku rahalise vastutuse korral peab töötaja täielikult hüvitama organisatsioonile kogu kahju, mis on tekkinud seoses isikuandmetega seotud rikkumistega (Vene Föderatsiooni tööseadustiku artiklid 242 ja 243). Isikuandmete töötlemise eest vastutavatele töötajatele ei võeta aga reeglina täit rahalist vastutust.

Tööandja (näiteks äriühing) kohaldab distsiplinaar- ja rahalist vastutust ainult oma äranägemise järgi. Riigi reguleerivad asutused (sh Roskomnadzor) selles protsessis ei osale.

Haldusvastutus

Tööandja ja ametnike isikuandmete kogumise, säilitamise, kasutamise või levitamise korra rikkumise eest võivad reguleerivad asutused võtta haldusvastutuse rahatrahvi näol, mis võib ulatuda:

• ametnikele (näiteks peadirektor, pearaamatupidaja, personaliametnik või üksikettevõtja): 500 kuni 1000 rubla;
• organisatsiooni jaoks: 5000 kuni 10 000 rubla.

Eraldi (sõltumatu) trahv ametnikele isikuandmete avalikustamise eest seoses ameti- või ametiülesannete täitmisega jääb vahemikku 4000–5000 rubla. Selliseid karistusi on kirjeldatud Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklites 13.11 ja 13.14.

Kriminaalvastutus

Ettevõtte direktori, pearaamatupidaja või personaliosakonna juhataja või muu isikuandmetega töötamise eest vastutava isiku suhtes võib tekkida kriminaalvastutus ebaseadusliku tegevuse eest:

• töötaja eraelu puudutava teabe kogumine või levitamine, mis moodustab tema isikliku või perekonnasaladuse, ilma tema nõusolekuta;
• töötaja kohta teabe levitamine avalikus kõnes, avalikult välja pandud töös või meedias.

Selliste isikuandmete töötlemise rikkumiste eest on lubatud järgmised kriminaalkaristused:

• rahatrahv kuni 200 000 rubla (või süüdimõistetu sissetulekute ulatuses kuni 18 kuu jooksul);
• kohustuslikku tööd kuni 360 tundi;
• parandustööd kuni üheks aastaks;
• sunnitööle tähtajaga kuni kaks aastat koos teatud ametikohtade või teatud tegevustega tegelemise õiguse äravõtmisega kuni kolmeks aastaks või ilma;
• arest kuni neli kuud;
• kuni kaheaastase vangistusega koos teatud ametikoha või teatud tegevusega tegelemise õiguse äravõtmisega tähtajaga kuni kolm aastat.

Ametiseisundit kasutava isiku poolt toime pandud samade tegude eest karistatakse rangemalt:

• trahv 100 000 kuni 300 000 rubla. (või süüdimõistetu sissetulekute ulatuses ühe kuni kahe aasta jooksul);
• teatud ametikohtadel või teatud tegevusaladel tegutsemise õiguse äravõtmine kaheks kuni viieks aastaks;
• sunnitööle tähtajaga kuni neli aastat koos teatud ametikohtade või tegevuste võtmise õiguse äravõtmisega kuni viieks aastaks või ilma;
• vahistamine tähtajaga neli kuni kuus kuud;
• vangistus kuni neljaks aastaks, millega jäetakse ära õigus töötada teatud ametikohtadel või osaleda teatud tegevuses kuni viieks aastaks (Vene Föderatsiooni kriminaalkoodeksi artikkel 137).

Mis muutub alates 1. juulist 2017

Föderaalseadus, 07.02. 2017 nr 13-FZ laiendas tööandja haldusvastutusele võtmise aluste loetelu isikuandmete kaitse valdkonnas ning suurendas ka haldustrahvide suurust. Käesolev seadus jõustub 1. juulil 2017. aastal. Ütleme kohe ära, et haldusvastutust isikuandmete valdkonnas on oluliselt karmistatud. Samal ajal on oluline: Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklis 13.11 kirjeldatud ainsa haldusvastutuse liigi asemel ilmub seitse. Seega saab tööandjate erinevate rikkumiste eest isikuandmete valdkonnas kohaldada erinevaid trahve. Kui erinevate rikkumiste puhul tuvastatakse mitu rikkumist, võib trahvide arv vastavalt suureneda. Selgitagem uusi õigusrikkumisi üksikasjalikumalt.

Rikkumine 1: isikuandmete töötlemine „muudel“ eesmärkidel

Alates 1. juulist 2017 on isikuandmete töötlemine seaduses sätestatud juhtudel või isikuandmete kogumise eesmärkidega vastuolus olev isikuandmete töötlemine iseseisvad haldusõiguserikkumise liigid (haldusseadustiku artikli 13.11 1. osa). Vene Föderatsiooni süüteod). Toome näite: tööd andev organisatsioon kogub töötajate isikuandmeid ja edastab need reklaami eesmärgil kolmandatele ettevõtetele (edastatakse täisnimi, telefoninumbrid, elukohapiirkonnad, sissetulekute tase). Seejärel hakkavad reklaamifirmad saatma töötajatele erinevaid rämpsposti ja reklaampakkumisi telefoni, e-posti ja koduaadresside kaudu. Kui tööandja sellisest tegevusest ei ilmne kuritegu, saab rakendada haldusvastutust. Alates 1. juulist 2017 võivad halduskaristused olla järgmised:

• või hoiatus;
• või trahvid.

Rikkumine 2: isikuandmete töötlemine ilma nõusolekuta

Isikuandmete töötlemine tööandja poolt on üldreeglina võimalik ainult töötajate kirjalikul nõusolekul. Selline nõusolek peab sisaldama järgmist teavet (27. juuli 2006. aasta seaduse nr 152-FZ artikli 9 4. osa):

• Töötaja täisnimi, aadress, passi andmed (muu isikut tõendav dokument), sealhulgas andmed dokumendi väljaandmise kuupäeva ja väljastanud asutuse kohta;
• töötaja nõusoleku saanud tööandja (operaatori) nimi või täisnimi ja aadress;
• isikuandmete töötlemise eesmärk;
• isikuandmete loetelu, mille töötlemiseks antakse nõusolek;
• tööandja nimel isikuandmeid töötleva isiku nimi või täisnimi ja aadress, kui töötlemine usaldatakse sellisele isikule;
• isikuandmetega tehtud toimingute loetelu, milleks nõusolek antakse, tööandja poolt isikuandmete töötlemiseks kasutatavate meetodite üldine kirjeldus;
• periood, mille jooksul töötaja nõusolek kehtib, ja selle tagasivõtmise viis, kui föderaalseadusega ei ole sätestatud teisiti;
• töötaja allkiri.

Alates 1. juulist 2017 on isikuandmete töötlemine ilma töötaja kirjaliku nõusolekuta või juhul, kui kirjalik nõusolek ei sisalda ülalnimetatud andmeid, haldusõiguserikkumiste seadustiku artikli 13.11 2. osas sätestatud iseseisev haldusrikkumine. Vene Föderatsiooni. Selle eest on võimalikud karistused:

Rikkumine 3: juurdepääs isikuandmete töötlemise poliitikale

Isikuandmete haldur (näiteks tööandja või veebileht) on kohustatud avaldama või muul viisil võimaldama piiramatu juurdepääsu dokumendile, mis määratleb tema isikuandmete töötlemise poliitika, teabele rakendatud isikuandmete kaitse nõuete kohta. Internetis isikuandmeid koguv operaator (näiteks veebisaidi kaudu) on kohustatud avaldama Internetis dokumendi, mis määratleb tema isikuandmete töötlemise poliitika ja teabe rakendatud isikuandmete kaitse nõuete kohta, samuti võimaldama juurdepääsu määratud dokumendile. See on sätestatud 27. juuli 2006. aasta seaduse nr 152-FZ artikli 18.1 lõikes 2.

Paljud Interneti-kasutajad seisavad praktikas silmitsi selle kohustuse täitmisega. Nii et näiteks jättes veebilehtedele suvalise taotluse ja märkides oma täisnime ja e-posti aadressi, võite pöörata tähelepanu sarnaste dokumentide lingile: „Isikuandmete töötlemise eeskirjad“, „Isikuandmete töötlemise eeskirjad“ , jne. . Siiski tasub tunnistada, et mõned saidid jätavad selle tähelepanuta ega paku linke. Ja selgub, et inimene jätab saidile päringu, ei tea, millistel eesmärkidel sait isikuandmeid kogub.

Mõned tööandjad kuvavad vabad töökohad ka oma veebisaitidel ja kutsuvad kandidaate täitma vormi „Minust”. Sellistel juhtudel peab veebisait võimaldama juurdepääsu ka “Isikuandmete töötlemise poliitikale”.

Alates 1. juulist 2017 on Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 3. osas tuvastatud iseseisev õigusrikkumine – käitaja ei täida kohustust avaldada dokumenti või võimaldada sellele piiramatu juurdepääs töötlemise poliitikaga. isikuandmeid või teavet nende kaitse kohta. Selle artikli kohane vastutus võib tunduda hoiatuse või haldustrahvina:

Rikkumine 4: teabe varjamine

Isikuandmete subjektil (st isikul, kellele need andmed kuuluvad) on õigus saada teavet oma isikuandmete töötlemise kohta, sealhulgas teavet, mis sisaldab (27. juuli 2006. aasta seaduse nr 14 artikli 14 7. osa). 152-FZ) :

1. käitaja isikuandmete töötlemise fakti kinnitus;
2. isikuandmete töötlemise õiguslikud alused ja eesmärgid;
3. operaatori kasutatavad isikuandmete töötlemise eesmärgid ja meetodid;
4. operaatori nimi ja asukoht, teave isikute kohta (välja arvatud operaatori töötajad), kellel on juurdepääs isikuandmetele või kellele võib operaatoriga sõlmitud lepingu või föderaalseaduse alusel isikuandmeid avaldada;
5. asjaomase isikuandmete subjektiga seotud töödeldud isikuandmed, nende saamise allikas, välja arvatud juhul, kui föderaalseadusega on ette nähtud erinev kord selliste andmete esitamiseks;
6. isikuandmete töötlemise tingimused, sealhulgas nende säilitamise perioodid;
7. isikuandmete subjekti käesoleva föderaalseadusega sätestatud õiguste kasutamise kord;
8. teave lõpetatud või kavandatud piiriüleste andmeedastuste kohta;
9. operaatori nimel isikuandmeid töötleva isiku ees- või perekonnanimi, eesnimi, isanimi ja aadress, kui töötlemine on antud või määratakse sellisele isikule;
10. muu föderaalseaduses või teistes föderaalseadustes sätestatud teave.

Tatiana Gezha,
TLS-PRAVO LLC peaekspertkonsultant

Alates 1. juulist 2017 on oluliselt suurenenud vastutus isikuandmete töötlemisel toimunud rikkumiste eest. 02.07.2017 föderaalseadusega nr 13-FZ "Vene Föderatsiooni haldusõiguserikkumiste seadustiku muutmise kohta" muudeti Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklit 13.11. Uus väljaanne sisaldab diferentseeritud karistuste skaalat ja tutvustatakse seitset uut rikkumist. Vastutama hakatakse mitte ainult organisatsioone, vaid ka ametnikke. Lisaks neile organisatsioonidele, kes töötlevad üksikklientide isikuandmeid, puudutavad need muudatused kindlasti kõiki tööandjaid, kes oma töötajate isikuandmeid töötlevad. Vaatleme mõningaid praktilisi olukordi, mille eest võib tööandjat vastutusele võtta.

Töötajate isikuandmed

Kooskõlas Art. 27. juuli 2006. aasta föderaalseaduse nr 152-FZ "Isikuandmete kohta" artikli 3 kohaselt on isikuandmed mis tahes teave, mis on seotud otseselt või kaudselt tuvastatud või tuvastatava isikuga (isikuandmete subjekt), st see on igasugune teave isikuandmete kohta. isik, kelle järgi seda saab tuvastada. Sealhulgas: täisnimi, aasta, kuu, sünniaeg ja -koht, aadress, perekonnaseis, haridus, elukutse, sissetulek ja muu teave.
Isiku tuvastamiseks piisab mõnikord perekonnanimest, eesnimest ja isanimest ning mõnest täiendavast teabest, näiteks täisnimest. ja telefoninumber. Sel juhul on võimalik isikut tuvastada.
Kui teil on näiteks ainult meiliaadress ja telefoninumber, siis on ebatõenäoline, et saate isikut tuvastada.
Kõige sagedamini on personaliametnike ja raamatupidajate isikuandmeteks perekonnanimi, eesnimi, isanimi, aasta, kuu, sünniaeg ja -koht, aadress, telefoninumber, perekonnaseis, haridus, elukutse.

Kas tööle kandideerimisel on vaja saada nõusolek isikuandmete töötlemiseks?

Töölepingu sõlmimisel vastavalt Art. Vene Föderatsiooni töökoodeksi artikli 65 kohaselt saab tööandja töötajalt suure nimekirja isikuandmetest. Eelkõige on need järgmised: isikut tõendavad dokumendid, SNILS, tööraamat, hariduse andmed, sõjaväe registreerimisdokumendid jne. Kõik see on töötaja isikuandmed.
Kuna töötaja on töölepingu pool, ei ole töölepingu sõlmimisel vaja saada nõusolekut tema isikuandmete töötlemiseks (27. juuli 2006. aasta seaduse nr 152-FZ punkt 5, artikkel 6 Isikuandmed.) viitab sellele ka Roskomnadzor oma selgitustes "Töötajate, vabadele ametikohtadele kandideerijate ja ka personalireservis olevate isikute isikuandmete töötlemisega seotud küsimused."

Kas tööandjal on õigus, olles saanud töölepingu sõlmimisel töötaja isikuandmed, hoida oma isikutoimikus passide, sõjaväetunnistuste, diplomite jms koopiaid?

Kui personaliteenistus hoiab töötajate isiklikes toimikutes passide või sõjaväetunnistuste koopiaid, võib Roskomnadzor inspekteerimisel võtta tööandja vastutusele vastavalt artikli 1 1. osale. Vene Föderatsiooni haldusõiguserikkumiste seadustiku 13.11 töötaja ülemääraste isikuandmete töötlemise kohta juhtudel, mis ei ole ette nähtud Vene Föderatsiooni õigusaktidega isikuandmete valdkonnas.
Selle eest võidakse juriidilist isikut karistada rahatrahviga 30 000 kuni 50 000 rubla ja ametnikku - 5 000 kuni 10 000 rubla.
Seda järeldust kinnitab kohtupraktika (vt Põhja-Kaukaasia ringkonna föderaalse monopolivastase teenistuse 21. aprilli 2014. aasta otsus asjas nr A53-13327/2013).
Nimetatud resolutsioon ütleb eelkõige: „...apellatsioonikohus jõudis õigesti järeldusele, et isiku tuvastamiseks tööle kandideerimisel piisab perekonnanimest, eesnimest ja isanimest, kui isik esitab isikut tõendava dokumendi, sisaldab kogu vajalikku teavet.
Passi, sõjaväetunnistuse lehtede, abielutunnistuse, lapse sünnitunnistuse koopiate säilitamine töökohal ületab töötaja töödeldavate isikuandmete mahtu ja seda ei näe ette kehtivad õigusaktid, see rikub töötaja õigusi ja vabadusi. kodanik, vähendab töötaja õiguste ja garantiide taset,
vastuolus föderaalseadusega.
Auditi käigus... tehti õige järeldus, et „organisatsioon<…>töötleb üleliigseid isikuandmeid, võrreldes nendega, mis on tuvastatud nende töötlemise märgitud eesmärkidel, mis on artikli 5. osa rikkumine. Seaduse nr 152-FZ artikkel 5."

Kas organisatsioon, kes üürib bürood hoones, kus kehtib läbipääsukontroll, töötajate isikuandmete saatmisel kolmandale isikule selleks, et anda neile luba hoonesse sisenemiseks, et saada neilt luba selliste andmete edastamiseks kolmandale isikule peod?

Kooskõlas Art. Vene Föderatsiooni tööseadustiku artikli 88 kohaselt ei tohi tööandja avaldada töötaja isikuandmeid kolmandale isikule ilma töötaja kirjaliku nõusolekuta, välja arvatud juhtudel, kui see on vajalik, et vältida ohtu töötajate elule ja tervisele. töötaja, samuti muudel juhtudel, mis on sätestatud Vene Föderatsiooni töökoodeksis või muudes föderaalseadustes.
Rostrud selgitab oma 13. mai 2011. aasta kirjas nr 1302-6-1, et kui töötajate isikuandmeid töötleb organisatsioon, mis ei ole töösuhte osaline, edastatakse selle organisatsiooni töötajate isikuandmed hilisemaks kasutamiseks. töötlemine peab toimuma kooskõlas artikliga kehtestatud piirangutega. 88 Vene Föderatsiooni töökoodeks.
See tähendab, et passide väljastamiseks peab organisatsioon saama töötajatelt loa oma isikuandmete edastamiseks kolmandale osapoolele – kolmandast osapoolest organisatsioonile.
Muidu artikli 2 2. osa 13.11 Vene Föderatsiooni haldusõiguserikkumiste seadustik: isikuandmete töötlemine ilma isikuandmete subjekti kirjaliku nõusolekuta tema isikuandmete töötlemiseks juhtudel, kui selline nõusolek tuleb hankida vastavalt Vene Föderatsiooni selle valdkonna õigusaktidele. isikuandmetest<…>toob kaasa haldustrahvi määramise<…>ametnikele - 10 000 kuni 20 000 rubla; juriidilistele isikutele - 15 000 kuni 75 000 rubla.

Isikliku töötaja kaardi registreerimine

Töölevõtmisel on tööandja kohustatud väljastama töötajale T-2 vormil isikliku kaardi. Kas selle täitmiseks on vaja saada nõusolek töötaja sugulastelt tema isikuandmete töötlemiseks?
Vastavalt Roskomnadzori selgitustele töötaja lähisugulaste isikuandmete töötlemine ulatuses, mis on ette nähtud ühtsel vormil nr T-2, mis on kinnitatud Vene Föderatsiooni riikliku statistikakomitee 5. jaanuari otsusega. , 2004 nr 1 "Tööjõu ja selle maksmise arvestuse esmase raamatupidamisdokumentatsiooni ühtsete vormide kinnitamise kohta" või Vene Föderatsiooni õigusaktidega kehtestatud juhtudel (alimentide saamine, riigisaladusele juurdepääsu saamine, sotsiaaltoetuste väljastamine) nõutud.
Muudel juhtudel on töötaja lähisugulaste nõusoleku saamine tema isikuandmete töötlemise kohustuslik tingimus, vastasel juhul on võimalik vastutusele võtta ka artikli 2. osa kohaselt. 13.11 Vene Föderatsiooni haldusõiguserikkumiste seadustik.

Personali ja raamatupidamist teostab kolmas isik. Kas isikuandmete töötlemiseks on vaja töötajatelt nõusolekut saada?

Vastavalt Roskomnadzori selgitustele on tööandja kohustatud kolmandate osapoolte organisatsioonide kaasamisel personali- ja raamatupidamisdokumentide pidamiseks järgima artikli 3. osas kehtestatud nõudeid. föderaalseaduse "Isikuandmete kohta" artikkel 6, sealhulgas töötajate nõusoleku saamine nende isikuandmete edastamiseks. Vastasel juhul võib tööandja võtta vastutusele vastavalt artikli 2. osale. 13.11 Vene Föderatsiooni haldusõiguserikkumiste seadustik.

Mida tuleb isikuandmete töötlemise nõusolekus märkida?

Vastavalt artikli 2. osale. Vene Föderatsiooni haldusõiguserikkumiste seadustiku punkti 13.11 kohaselt võib tööandja võtta vastutusele isikuandmete töötlemise eest, mis rikub Vene Föderatsiooni õigusaktidega kehtestatud nõudeid isikuandmete valdkonnas sisalduva teabe koostamisel. isikuandmete subjekti kirjalik nõusolek tema isikuandmete töötlemiseks.
Töötaja nõusolek isikuandmete töötlemiseks peab olema kirjalik. Tööandjal on mõttekas töötada välja ja kinnitada isikliku töötajate regulatsiooni lisana töötaja nõusoleku vorm tema isikuandmete töötlemiseks ja edastamiseks.
Kirjaliku nõusoleku sisule esitatavad nõuded on sätestatud artikli 4. osas. Isikuandmete seaduse nr 152-FZ artikkel 9.

Nõusolekus peab olema märgitud:
Töötaja täisnimi, aadress, tema isikut tõendava dokumendi andmed, sealhulgas väljaandmise kuupäev ja andmed väljastanud asutuse kohta;
töötaja esindajalt nõusoleku saamisel - tema täisnimi, aadress, isikut tõendava dokumendi andmed, sealhulgas väljaandmise kuupäev ja andmed selle väljastanud asutuse kohta, volikirja või muu esindaja volitusi kinnitava dokumendi andmed. ;
nimi või täisnimi ja tööandja aadress;
isikuandmete töötlemise eesmärk;
töödeldavate isikuandmete loetelu;
TÄISNIMI. ja tööandja nimel isikuandmeid töötleva isiku aadress või organisatsiooni nimi, kui see on sellisele isikule või organisatsioonile usaldatud;
isikuandmetega toimingute loetelu, milleks töötaja on andnud nõusoleku, nende töötlemise meetodite üldine kirjeldus;
periood, mille jooksul kehtib töötaja nõusolek tema isikuandmete töötlemiseks, ja nõusoleku tagasivõtmise viis;
töötaja allkiri.

Kas on vaja välja töötada töötajate isikuandmete regulatsioon?

Kooskõlas Art. Vene Föderatsiooni tööseadustiku artikli 87 kohaselt kehtestab töötajate isikuandmete säilitamise ja kasutamise korra tööandja vastavalt Vene Föderatsiooni tööseadustiku ja muude föderaalseaduste nõuetele.
Tööandja peab määrama kindlaks organisatsiooni isikuandmete töötlemise poliitika ja välja andma ka kohaliku seaduse, millega kehtestatakse töötajate isikuandmete töötlemise, säilitamise ja kaitsmise kord (seaduse nr 152- punkt 2, punkt 1, artikkel 18). FZ "Isikuandmete kohta").
See tähendab, et tööandja peab väljastama kohaliku määruse, milles näeb ette kogu isikuandmete säilitamist ja kasutamist reguleeriva korra, samuti viimaste kaitse tagamise õigusvastase kasutamise või kaotsimineku eest.
Töötajaid tuleb allkirjastamisel tutvuda vastava seadusega, samuti nende õigustega isikuandmete kaitse valdkonnas.
Sellise dokumendi kinnitamise vajadust kinnitab kohtupraktika (vt nt Moskva rajooni föderaalse monopolivastase teenistuse 26. oktoobri 2006. a resolutsiooni nr KA-A40/10220-06).

Ligikaudne asukoha struktuur võib olla järgmine:

1) „Üldsätted” – selles jaotises tuleks näidata, mis eesmärgil käesolev määrus vastu võetakse ja milliseid küsimusi see reguleerib;
2) „Põhimõisted. Töötajate isikuandmete koosseis” - siin peaksite märkima, millised organisatsiooni dokumendid sisaldavad isikuandmeid;
3) "Isikuandmete töötlemine" - selles jaotises tuleks näidata, millised tingimused peavad olema täidetud töötaja isikuandmete töötlemisel;
4) "Isikuandmete edastamine" - siin peaksite täpsustama töötajate isikuandmete edastamise korra organisatsiooni sees, samuti kolmandatele isikutele ja valitsusasutustele;
5) "Juurdepääs isikuandmetele" - see jaotis peaks sisaldama teavet töötajate isikuandmetele juurdepääsu korra kohta. Juurdepääs jaguneb sisemiseks (isikuandmete esitamine organisatsiooni üksikutele töötajatele) ja väliseks (isikuandmete edastamine teiste organisatsioonide ja valitsusasutuste esindajatele);
6) "Vastutus isikuandmete töötlemist ja kaitset reguleerivate eeskirjade rikkumise eest" - selles jaotises peate märkima, kes organisatsioonis vastutab isikuandmete säilitamise ja kasutamise reeglite rikkumise eest.
Organisatsioonis välja töötatud töötajate isikuandmete säilitamise ja kasutamise korra puudumist käsitletakse artikli 2 nõuete rikkumisena. Vene Föderatsiooni tööseadustiku artikkel 87 ja moodustab vastavalt artikli 2 alusel haldusõiguserikkumise. 5.27 Vene Föderatsiooni haldusõiguserikkumiste seadustik. (vt nt Karjala Vabariigi Riigikohtu 11. aprilli 2014. a otsus asjas nr 21-153/2014).

Alates 1. juulist 2017 on tugevdatud haldusvastutust isikuandmete ja nende töötlemise valdkonna õigusaktide rikkumise eest.

TÄHELEPANU!

Praegu tegelevad riigiasutused interneti kontrollimisega väga aktiivselt trahvid, mida arvestatakse iga rikkumise eest kokku.

Lugege seda artiklit hoolikalt läbi või kasutage meie teenuseid kõigi vajalike toimingute tegemiseks.

02.07.2017 föderaalseadus N 13-FZ "Vene Föderatsiooni haldusõiguserikkumiste seadustiku muutmise kohta"

Selleks on Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 uus redaktsioon laiendanud rikkumiste loetelu ja suurendanud ka trahvisummasid.

Seega on haldusvastutus kehtestatud eelkõige:

Isikuandmete töötlemine juhtudel, mida isikuandmete valdkonna õigusaktid ette ei näe, või isikuandmete kogumise eesmärkidega vastuolus olevate isikuandmete töötlemine, kui need toimingud ei sisalda kuritegu (kaasnevad hoiatuse või rahatrahvi kodanikud summas 1000 kuni 3000 rubla , ametnikele - 5000 rubla kuni 10 000 rubla, juriidilistele isikutele - 30 000 rubla kuni 50 000 rubla);

Isikuandmete töötlemine ilma isikuandmete subjekti kirjaliku nõusolekuta tema isikuandmete töötlemiseks juhtudel, kui selline nõusolek tuleb vastavalt seadusele saada, kui need toimingud ei sisalda kuritegu, või isikuandmete töötlemine rikkudes isikuandmete valdkonnas kehtestatud õigusakte, käesolevaid nõudeid isikuandmete subjekti kirjalikus nõusolekus tema isikuandmete töötlemiseks sisalduva teabe koostamisele;

Isikuandmete valdkonna õigusaktides sätestatud kohustuse täitmata jätmine käitaja poolt avaldada või muul viisil võimaldada piiramatu juurdepääs dokumendile, mis määratleb käitaja isikuandmete töötlemise poliitika või teabe rakendatud isikukaitsenõuete kohta. andmed;

Käitaja poolt isikuandmete valdkonna õigusaktides sätestatud kohustuse täitmata jätmine anda isikuandmete subjektile teave tema isikuandmete töötlemise kohta.

Selle kategooria haldusasjade protokollide koostamine on Roskomnadzori ametnike ülesanne (varem algatas selle kategooria juhtumid prokurör).

Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikli 13.11 eelmises versioonis kehtestati vastutus ainult kodanike kohta teabe (isikuandmete) kogumise, säilitamise, kasutamise või levitamise korra rikkumise eest, mis nägi ette hoiatuse või kohaldamise. trahv kodanikele summas 300 rubla kuni 500 rubla, ametnikele - 500 rubla kuni 1000 rubla, juriidilistele isikutele - 5000 rubla kuni 10 000 rubla.

Kuidas järgida 2017. aasta isikuandmete seadust

Tähelepanu saidi omanikud! Alates 1. juulist tõusevad trahvid isikuandmete seaduse rikkumise eest 75 tuhande rublani (ühe tuvastatud rikkumise eest).

Kas teie veebisaidil on kontaktivorm?

Nii et tõenäoliselt kehtib see ka teie kohta. Prokurörid juba trahvivad ettevõtteid ja kohtud toetavad neid. Lisaks isikuandmete töötlemise reeglite rikkumise eest riigi kasuks määratud rahatrahvidele võidakse määrata ka moraalse kahju hüvitamine ja muu vastutus.

Turvareeglid isikuandmetega töötamisel

2017. aasta veebruaris tehti haldusõiguserikkumiste seadustiku punktis 13.11 isikuandmete seaduse rikkumisi puudutavad muudatused, mis jõustuvad 1. juulil. Uuendused puudutavad kõiki, kes isikuandmeid saavad, koguvad, töötlevad või säilitavad.

Trahve on kümnekordistatud ja need jagunevad rikkumise liikide kaupa. Seega, kui privaatsuspoliitikat veebisaidile ei postita, on trahv üksikettevõtjale 10 tuhat rubla ja ettevõttele 30 tuhat rubla. Juriidilisele isikule määratakse rahatrahv kuni 75 tuhat rubla, kui veebisait töötleb ilma tema nõusolekuta veebipoe kliendi või teaberessursi tellija isikuandmeid (ettevõtte direktor või üksikettevõtja maksta kuni 20 tuhat).

Jne. Kui fikseeritakse mitu rikkumist, on ka mitu trahvi.

Mida teha? Tehke oma saidid kiiresti korda! Kontrollid on juba alanud

Nüüd on õigus rikkumiste kohta protokolle koostada ainult prokuratuuril ja trahvi suurus, olenemata rikkumise liigist, on juriidilisele isikule 10 tuhat rubla ja üksikettevõtjale või direktorile 1000 rubla. Alates 1. juulist väljastab Roskomnadzor protokolle kõrgema määraga ja ilmselt ka innukamalt.

Kuidas teada saada, kas olete sama isikuandmete haldaja?

Isikuandmed on vastavalt föderaalseadusele "Isikuandmete kohta" mis tahes andmed isiku kohta, mille abil saab teda tuvastada. Samas ei sisalda seadus selliste andmete liikide loetelu, mistõttu tuleb lähtuda seaduse ja praktika üldisest loogikast ning „vetel käia“. Näiteks kasutajanime või sisselogimise abil on võimatu aru saada, mis inimesega on tegu, kuid nime ja telefoninumbri või täisnime ja e-maili järgi saab inimese juba kuidagi tuvastada, mis tähendab, et sellise kombinatsiooni saamine võib juba määratleda isikuandmete kogumise ja säilitamisena.

Nii et suure tõenäosusega olete juba isikuandmete operaator, kui saate inimestelt (mis tahes kombinatsioonis) näiteks järgmist teavet: perekonnanimi, eesnimi, isanimi, mis tahes füüsiline aadress, e-posti aadress, telefoninumber, kuupäev või sünnikoht, foto, link isiklikule veebisaidile või suhtlusvõrgustikule, elukutse, haridus, sissetulekutase, perekonnaseis jne.

Praktikas tähendab see seda, et isikuandmete haldajad on kõik nende saitide omanikud, mis sisaldavad isiklikke kontosid, tagasiside vorme, tellimust või registreerimist, küsimustikke jne, ühesõnaga täidetavaid vorme, kuhu külastaja peab oma andmed jätma. Isegi kui saidil on ainult nüüd populaarsed nupud tagasihelistamise tellimiseks (kasutaja jätab oma nime ja telefoninumbri) või sõnumi saatmiseks (nimi ja meiliaadress), võib seda kvalifitseerida ka isikuandmete töötlemiseks.

Kas ka minu telefoniraamatu kirjeid loetakse isikuandmete kogumiseks ja säilitamiseks?

Ei. See seadus ei hõlma andmeid, mida salvestate isiklikel ja perekondlikel eesmärkidel. Kui aga edastate need andmed isikule või organisatsioonile, kes on käesoleva seaduse kohaselt isikuandmete haldaja või teabe avaldate, käsitletakse seda rikkumisena.

Kuidas töötada isikuandmetega ilma seadust rikkumata?

Järgida ja järgida tuleb vähemalt 10 reeglit:

• avaldama avalikus omandis kogu teavet teie suhtluspõhimõtete ja teie ettevõtte või ressursi klientide ja külastajate isikuandmetega töötamise põhimõtete kohta;
• nõuda ainult neid andmeid, mida on iga konkreetse eesmärgi jaoks vaja. Näiteks ei saa te e-kirjade saatmiseks küsida passiandmeid ega koduaadressi;
• Enne avalikult kättesaadavates allikates avaldamiseks mõeldud isikuandmete saamist hankige igalt külastajalt, kliendilt või tellijalt nende töötlemiseks, säilitamiseks ja levitamiseks kirjalik nõusolek. Kui andmeid ei avaldata, kuid neid kasutatakse eranditult ettevõttesiseseks töötlemiseks, on vaja selgesõnaliselt piirata võimalust edastada teile isikuandmeid ilma nende töötlemiseks nõusolekuta;
• kasutada andmeid ainult nendel eesmärkidel, mille eest Te isikut hoiatasite ja mis on märgitud Teie poolt avaldatud dokumentides isikuandmete töötlemise kohta;
• teavitama isiku nõudmisel, millised andmed teil tema kohta on, kuidas ja miks neid töödeldakse ning kellele olete need edastanud;
• kustutada andmed selle isiku esimesel nõudmisel, kelle isikuandmeid teie andmebaasis hoitakse;
• hoidke andmebaase kindlas kohas, kaitske neid häkkimise ja lekke eest (Nõuded on määratud seadusega!);
• määrata isik, kes vastutab isikuandmete turvalisuse ja teatud föderaalseaduse N152 isikuandmetega töötamise reeglite järgimise eest;
• koolitada töötajaid isikuandmetega töötamiseks;
• registreeruge Roskomnadzoris.

Seaduse kohaselt lasub operaatoril kohustus esitada tõendeid isikuandmete subjektilt nõusoleku saamise kohta tema isikuandmete töötlemiseks või seaduses nimetatud aluste olemasolu kohta.

Miks peaks saidi omanik registreeruma?

Seaduse järgi peavad isikuandmete haldajad teavitama Roskomnadzorit. Pealegi tuleb seda teha enne andmetöötluse algust või vahetult pärast selle tegevuse algust. Roskomnadzor sisestab teabe operaatori kohta isikuandmete haldajate registrisse.

Teatist ei või esitada, kui:

• Töödeldakse ainult töötajate andmeid;
• isikuandmed saadi ainult konkreetse lepingu täitmiseks konkreetse isikuga ning neid ei levitata ega kasutata muul viisil;
• salvestate ainult kliendi täisnime;
• andmed on avalikult avaldatud isik ise või keegi tema nimel.

Mis siis, kui teie sait sisaldab vorme ja võimaldab teil saada isiklikku teavet?

Kui Sinu veebileht võimaldab saada isikuandmeid ja Sa ei ole veel täitnud ülaltoodud tingimusi, siis võidakse rikkumine juba fikseerida ja Sind võidakse trahvida. Isegi kui teie saiti haldab mõni muu ettevõte või allhankespetsialist, määratakse trahv ettevõttele või üksikettevõtjale, kes on saidil märgitud omanikuna ja seega ka isikuandmete saajana.

Kuidas vältida võimalikke probleeme (minimaalne nõutav programm):
1) Valmistage ette avalikud dokumendid ja asetage need saidile nii, et need oleksid juurdepääsetavad teie saidi igalt lehelt. See võib olla teatis, kasutajaleping, müügireeglid või isikuandmete töötlemise poliitika.
Ükskõik, kuidas seda dokumenti nimetatakse, peab see sisaldama isikuandmete töötlemise eeskirju ja tingimusi.

2) Ärge kasutage ilma töötlemiseta teiste ettevõtete dokumente. Neid saab kasutada mallina, kuid peate määrama oma andmete loendi ja isikuandmete kasutamise eesmärgid. Seda, mida trükikoda vajab tellimuse vormistamiseks või veebipood kauba kohaletoimetamiseks, pole meili teel levitamiseks vaja. Tarbetute andmete küsimist võib pidada seaduserikkumiseks ja sellega võib kaasneda rahatrahv.

3) Rakendada tarkvaralahendus, mis tagab üheselt mõistetava tuvastamise, et isik on isikuandmete töötlemisega nõustunud. See võib olla registreerimisvormi linnuke, mis tuleb linnukest teha, või kasutustingimustega nõustumise nupp, mida aktiveerimata ei saa inimene sõnumit saata ega tellimust esitada.
Ohutuse huvides võib veebilehtedest lasta välja printida ekraanipildid notari poolt kinnitatud vormidega, kommenteerides neid koos saatetekstiga (näiteks „tõendamisel töötasid sellel väljatrükil näidatud nupud vastavalt funktsionaalsusele preambulis kirjeldatud ja ilma nende aktiveerimiseta oli andmete saatmine tehniliselt võimatu).

4) koostada sisedokumendid, mis reguleerivad isikuandmete säilitamise ja töötlemise reegleid ning neile juurdepääsu omavate töötajate kohustusi.

5) Kui sait vastab seaduse nõuetele, saatke Roskomnadzorile teatis. Kui olete täiesti kindel, et teatise saatmine pole vajalik, koostage kogu dokumentatsioon nii, et see oleks võimalikele kontrollijatele selgelt arusaadav. Näiteks võite isikuandmetega töötamise poliitikas märkida, et neid kasutatakse ainult konkreetsete lepingute täitmiseks, või märkida dokumentidesse, et andmed on kasutaja soovil avalikkusele kättesaadavad (kuid pidage meeles, et Seadus paneb selle fakti tõendamise kohustuse operaatorile).

1. juulil 2017 jõustusid karmimad karistused isikuandmeid käsitlevate õigusaktide rikkumiste valdkonnas (Vene Föderatsiooni haldusõiguserikkumiste seadustiku artikkel 13.11). Juriidilistele isikutele tõusevad trahvid 10 000-lt 75 000 rublale.

Kelle kohta see kehtib?

See artikkel kehtib ettevõtte kohta, kui see:

• Veebisaidil on taotlusvorm või isiklik konto.
• Turundajad või juhid kasutavad selliseid tööriistu nagu e-kirjad, SMS-kirjad ja kliendibaasi helistamine.
• Isikuandmetega kliendiandmebaas on mingil kujul salvestatud.

Need. See norm kehtib peaaegu kõigi olemasolevate ettevõtete kohta. Lisaks kehtib seadus ka tööandjatele, kes saavad töötajatelt teavet töölepingu ja tsiviillepingu alusel.

Mida me tegema peame?

Registreeruge ROSKOMNADZORis

Kui töötlete isikuandmeid (edaspidi PD) järgmistel eesmärkidel:

• Täitke lepingust tulenevaid kohustusi ning ärge levitage ega edastage PD-d kolmandatele isikutele ilma PD subjekti nõusolekuta.
• PD ühekordse läbipääsu korraldamine operaatori asukoha territooriumil.
• Tööseaduste järgimine.
• Ja ka siis, kui töötlete avalikult kättesaadavaid andmeid.

See punkt pole teie jaoks, võite liikuda järgmise juurde.

Kui kasutate e-posti või SMS-postitustööriistu, helistage regulaarselt klientidele jne. - siis peate registreeruma Roskomnadzori veebisaidil isikuandmeid töötlevate operaatorite registris. See protseduur on tasuta. Tõsi, keegi ei garanteeri, et Roskomnadzor ei kasuta kogutud operaatorite baasi viimaste juriidiliste nõuete süstemaatiliseks kontrollimiseks.

Järgige isikuandmete töötlemise nõudeid, nimelt:

• Töödelge isikuandmeid ainult nende andmete kogumiseks ühilduvatel eesmärkidel, st. andmetöötlus peaks toimuma ainult ettenähtud eesmärgil (näiteks isiklikul kontol registreerides peaksite koguma passiandmeid ainult siis, kui seda nõuavad valdkonna õigusaktid).
• Hankige nõusolek isikuandmete kasutamiseks.
• Avaldage avalikult PD töötlemise poliitika ja teave PD kaitseks rakendatud nõuete kohta.
• Informeerige kliente (nende soovil) nende isikuandmete kasutamisest (töötlemisest).
• Täitke klientide nõuded isikuandmete selgitamiseks, nende blokeerimiseks või hävitamiseks. See on vajalik, kui PI on mittetäielik, aegunud, ebatäpne, ebaseaduslikult saadud või ei ole nõutud töötlemise eesmärgi saavutamiseks vajalik.
• Tagada isikuandmete materiaalsete andmekandjate ohutus, välistades volitamata juurdepääsu, hävitamise, muutmise, blokeerimise, kopeerimise jms.
• Salvestage isikuandmeid Vene Föderatsiooni territooriumil.

Tagada andmete edastamise ja säilitamise turvalisus

Uue seaduse üks peamisi nõudeid on tagada isikuandmete edastamise, säilitamise ja kasutamise turvalisus. Kuid artikli tekstis piirdusid seadusandjad üldise sõnastusega, pannes lingi FSB soovitustele

Proovime seda üksikasjalikumalt välja mõelda. Kogu andmete edastamise ja salvestamise protsessi saab jagada 4 tsooni.

1. tsoon

Kui kasutaja külastab teie veebisaiti ja täidab ankeedi, registreerub või logib sisse oma isiklikule kontole, saadetakse tema isikuandmed teie veebisaidi serverisse. Kui see juhtub turvamata http-protokolli kaudu, eriti avatud wi-fi võrkudes, saavad ründajad andmed suhteliselt kergesti kinni.

Probleemi saab lahendada, kui seadistate oma domeenis turvalise https-protokolli. Pärast seda protseduuri edastatakse andmed krüpteeritud kujul ja need on pealtkuulamisele vähem vastuvõtlikud.

2. tsoon

Kõik isiklikud kasutajaandmed edastatakse teie veebisaidi serverisse (hostimisse).

Kuidas seda ala turvalisena hoida:

• Sõlmige saidi haldamise ja viimistlemise eest vastutava töötajaga mitteavaldamise leping.
• Nõua, et CMS-i ja hostimise paroolid salvestatakse krüpteeritud kujul.
• Pakkuge kaitset hostimisele ja CMS-ile juurdepääsu jõhkra jõuga häkkimise (toore jõuga paroolid) eest.

Tsoon 3

Teie veebisaidi serverist edastatakse andmed tavaliselt CRM-süsteemi (isikuandmete infosüsteem, ISPD). Seda tsooni tavaliselt rünnata ei saa, kuid seda tuleb kaitsta ka liikluse krüpteerimisega, kasutades sertifitseeritud krüptoinfoturbe tööriistu.

Tsoon 4

Teie serveri otsene kaitse, kus CRM-süsteem on juurutatud. Seda tsooni kaitsevad:

• Kasutada infoturbe meetmeid, mis on läbinud nõuetele vastavuse hindamise protseduuri vastavalt kehtestatud korrale.
• Määrake CRM-süsteemiga töötavate töötajate ring.
• Määrake süsteemi juurdepääsutasemed.
• Sõlmige nendega mitteavaldamise leping.
• Nõua paroolide salvestamist krüpteeritud kujul.

Isikuandmete kasutamiseks nõusoleku saamine

Kasutaja nõusolekut on võimalik saada kahel viisil – kirjalikult paberkandjal ja elektrooniliselt. Vaatleme teist meetodit, kuna see on lihtsam ja sagedamini kasutatav.

Nõusoleku saamise võib jagada kaheks tasandiks

1. Nõusolek töötlemisega ainult ulatuses, mis on vajalik teenuste osutamiseks (lepingutingimuste täitmine),
2. Nõusolek andmete edasiseks äriliseks kasutamiseks (postitused jne).

Tavaliselt kasutab esimesel juhul kasutaja nõusoleku väljendusena linnukest “märkekasti”, mille all on link lehele (või tekst) ettevõtte konfidentsiaalsete andmete poliitika.

See kirjeldab üksikasjalikult, et andmeid kogutakse ainult lepingu täitmise eesmärgil ning ruudu märkimine on seadusega ette nähtud. Registreerimisvormi (taotluse) edasine täitmine on võimatu ilma ruudu märkimata, mis tõenäoliselt tõendab nõusolekut.

Teisel juhul (andmete äriline kasutamine) on soovitav nõusolek kinnitada süsteemi kasutades dtopelt lubamine, milles kasutaja mitte ainult ei nõustu isikuandmete töötlemisega, näidates ära oma e-posti ja näidates selle vastu huvi, vaid saadab ka kinnituse määratud aadressilt.

Ühendage esimene ja teine ​​juhtum väga ebasoovitav. Seejärel peate oma konfidentsiaalsete andmete kasutamise poliitikas märkima, et te kasutate andmeid, sealhulgas turunduseesmärkidel. Ja see on vastuolus seadusega, mille kohaselt tuleb koguda ainult neid andmeid, mis on vajalikud lepingu täitmiseks või teenuse osutamiseks.

Ülaltoodu põhjal oleks tavapraktikaks järgmine algoritm:

• Veebilehel ankeedi/registreerimisvormi täitmisel märgib kasutaja esimese kasti – nõusolek isikuandmete töötlemiseks ainult lepingu täitmiseks vajalikus ulatuses – ja vajutab nuppu “Esita” või “Registreeri”.
• Pärast seda näidatakse talle ekraani, kus kõikvõimalike hüvede lubadus meelitab teda nõustuma oma andmete ärilise kasutamisega.

Olemasolevalt kliendibaasilt nõusoleku saamine

Kui te pole varem vaevunud nõusolekut hankima, peate seda tegema. Meilide saatmisel kasutatakse tavaliselt "tervituskirju". Selline kiri saadetakse olemasolevasse andmebaasi ja sisaldab:

• Sõnumi tekst kliendile. Midagi sellist, nagu "Me püüdsime teile mitte rämpsposti saata, vaid saata ainult vajalikku teavet. Püüame edasi, kuid seadus kohustab meid uudiskirjade saatmiseks hankima teie nõusoleku."
• Nupp "Tänan, saada".
• Tellimuse tühistamise nupp

Erandid isikuandmete kogumise allikate puhul

Kui olete oma andmebaasi kogunud avatud allikatest, sealhulgas sotsiaalmeediast. võrgud, aadressiraamatud, ettevõtete veebilehed jne, siis pole põhjust muretseda – seadusest tulenevad nõuded neile ei kehti.

Kuidas kasutaja saab oma andmed andmebaasist eemaldada

Kui teid piinavad igapäevased kõned või SMS-id ettevõtetelt, keda te isegi ei tunne, või igatunnised meilid, mis teie postkasti risustavad, ei ole lihtne loobuda.

Seadusandjad on pakkunud kaks võimalust, et sundida ettevõtet teie andmeid oma andmebaasist eemaldama:

• Saatke oma soov ettevõtte juriidilisele aadressile paberkandjal posti teel.
• Või saatke päring elektrooniliselt, kuid selleks peate hankima kvalifitseeritud elektroonilise digitaalallkirja. Kuid see pole kiire ega tasuta.

Teave teema kohta

• Teenus dokumentide koostamiseks vastavalt isikuandmete kaitse seaduse nõuetele (föderaalseadus 152)
• Teenus isikuandmete töötlemise süsteemi rakendamiseks vastavalt määruse (EL) N 2016/679 (GDPR) nõuetele