Dzień dobry wszystkim! W tym artykule chciałbym jeszcze raz poruszyć temat ochrony danych osobowych (odtąd będziemy to nazywać PD), a także temat ochrony przed regulatorami. Szczyt debaty na temat ochrony danych osobowych już dawno minął. Te szczyty zwykle występowały, gdy zbliżał się kolejny „ostatni termin” wprowadzenia 152-FZ w pełną moc. W rezultacie nadszedł „sam termin”, aktywna debata ucichła, ale ustawa „O danych osobowych” żyje, organy regulacyjne przeprowadzają kontrole i karzą osoby naruszające przepisy. Dlatego temat będzie aktualny przez długi czas.

Od razu zastrzegam, że artykuł ten będzie zawierał głównie informacje organizacyjne, a nie techniczne. „Po co nam takie informacje?” – zapyta czytelnik Habr. Wyjaśnię: tak się składa, że ​​szefowie zarówno dużych, jak i małych organizacji nie lubią budować długich łańcuchów logicznych i zagłębiać się w istotę zagadnienia, które leży daleko od ich kompetencji. Dlatego też, gdy pojawia się potrzeba zapewnienia ochrony danych osobowych, budowana jest dość logiczna ich zdaniem relacja: „Ochrona danych osobowych” -> „Ochrona informacji” -> „Technologia informatyczna” -> „Postaw kwestię ochrony danych osobowych osób zajmujących się IT.” I nie obchodzi mnie, że lwią część w tej sprawie można powierzyć prawnikom i kadrowym, ale jak mówi stary dowcip: „kto nie lubi ładowania luminy, ten załaduje żeliwo”.

Typowym przykładem ujawnienia danych osobowych kategorii szczególnej (informacje o życie intymne)

Dlaczego więc nie rozważę tutaj technicznej ochrony danych osobowych?

Istnieje kilka powodów:

• Takich informacji jest mnóstwo w Internecie i są one mniej więcej jednoznaczne.
• Temat ten jest dość obszerny i zasługuje na osobny artykuł; w tym opusie chcę jeszcze poruszyć kwestie organizacyjne.
• Kwestie organizacyjne sprawdza Roskomnadzor, a techniczne – FSTEC. FSTEC sprawdza znacznie mniej w zakresie ochrony danych osobowych, choćby dlatego, że w każdym regionie istnieje wydział Roskomnadzor, a dla Okręgu Federalnego jest tylko jeden wydział FSTEC.
• W związku z uchyleniem Rozporządzenia Rządu nr 781 regulującego techniczną ochronę danych osobowych i zastąpieniem go PP Nr 1119, Rozporządzenia Dokumenty FSTEC Rosja i rosyjska FSB znalazły się w stanie „zawieszenia”. Teoretycznie nie można ich używać, ponieważ zostały wydane na podstawie unieważnionej uchwały nr 781, ale z drugiej strony dokumenty FSTEC Rosji powinny zostać unieważnione przez sam FSTEC Rosji. Dlatego techniczny Ochrona WNZ Lepiej rozważyć to szczegółowo po wydaniu nowej dokumentacji od organów regulacyjnych.
• Informatycy wciąż są znacznie bliżej technicznej ochrony danych osobowych i łatwiej jest im ją zrozumieć, jednak gdy kierownictwo narzuca pracę „papierkową”, wielu może potrzebować pomocy i wyjaśnień.

Trochę o sobie

Uznałem, że najpierw muszę opowiedzieć trochę o sobie, aby czytelnik zrozumiał, że wszystko, co napiszę poniżej, opiera się na osobistych doświadczeniach w organizowaniu ochrony danych osobowych w różnych organizacjach, a nie jest kwintesencją rozmaitych dyskusji na forach internetowych ( tam „eksperci” czasem tak napiszą, że włosy stają dęba i nie tylko na głowie).

Jestem kierownikiem działu w jednej z firm w Daleki Wschód zajmuje się outsourcingiem przedsiębiorstw w zakresie bezpieczeństwa informacji. Oczywiście ochrona danych osobowych to jedna z naszych najpopularniejszych usług. Działam w tym kierunku od 2008 roku. Wśród klientów jest jedno i drugie małe organizacje oraz dość duże departamenty rządowe (departamenty, aparaty rządowe, zgromadzenia legislacyjne itp.) i komercyjnych (operatorzy komunikacja komórkowa, Dostawcy Internetu, prywatni kliniki medyczne).

Niektórzy klienci przeszli kontrole Roskomnadzor w celu zapewnienia zgodności z wymogami prawnymi w zakresie ochrony danych osobowych i jak na razie wynik jest 100% udane kontrole. Mam także osobiste doświadczenie w reprezentowaniu interesów organizacji podczas takiego audytu.

Zostałeś więc wyznaczony jako odpowiedzialny za organizację przetwarzania danych osobowych, a poza tym dowiedziałeś się, że jesteś objęty planem kontroli Roskomnazdor na nadchodzący rok. Gdzie zacząć?

I tak się stało: szef bez większego zamieszania podpisał polecenie, w którym stwierdził: „Administrator systemu Horns and Hooves LLC, I. I. powinien zadbać o to, aby ochrona danych osobowych w naszej otwartej organizacji była feng shui”. Co zrobić najpierw?

Przede wszystkim musisz dowiedzieć się, czy Twoja organizacja znajduje się w rejestrze operatorów danych osobowych. Aby to zrobić, wystarczy w wyszukiwarce wpisać NIP firmy. Jeśli nie ma takiego powiadomienia, musisz je złożyć (ale musisz wziąć pod uwagę, że jeśli powiadomienie nie zostało złożone wcześniej, jest to już powód, aby regulator nałożył karę na Twoją organizację).

Jeśli powiadomienie nadal występuje, musisz wyjaśnić jego treść. Często zdarza się, że zgłoszenie zostało wypełnione przez jakąś Vasyę Pupkin z działu HR w 2007 roku, która również została dawno zwolniona. W tym przypadku jest rzeczą zupełnie naturalną, że zawartość wielu pól nie odpowiada rzeczywistości. Jednocześnie praktyka środków karnych sugeruje, że Roskomnadzor wydaje większość nakazów właśnie w związku z rozbieżnością między powiadomieniem a tym, co faktycznie dzieje się w organizacji. Na przykład w kolumnie „Kategorie przetwarzanych danych osobowych” wskazano „imię i nazwisko, dane paszportowe, adres zamieszkania, numer telefonu”, a przetwarzasz także informacje o stanie zdrowia.

Na portalu danych osobowych dostępny jest także specjalny formularz umożliwiający dokonanie zmian w ogłoszeniu. Tutaj musisz pamiętać, że zmiany nie zostaną uwzględnione, chyba że później wyślesz list papierowy na swój adres administracja terytorialna Roskomnadzor. To samo dotyczy pierwszego powiadomienia.

OK, uporaliśmy się z powiadomieniem, co dalej?

Następnie musisz opublikować i zatwierdzić szereg dokumentów w swojej organizacji (instrukcje, regulaminy, zarządzenia, czasopisma itp.). W tym miejscu należy pamiętać, że dokumenty muszą regulować nie tylko przetwarzanie zautomatyzowane, ale także przetwarzanie „analogowe”.

Nie ma spisu dokumentów jako takich, jest jedynie lista aspektów, które trzeba w nich opisać.
Pierwszym krokiem jest wyznaczenie osoby odpowiedzialnej za organizację przetwarzania danych osobowych (osoba ta ma obecnie obowiązek wskazania w zgłoszeniu operatora). Osoba ta będzie odpowiedzialna przede wszystkim za pytania „papierowe”. Konieczne jest także wyznaczenie administratora bezpieczeństwa danych osobowych. Będzie odpowiadał za strona techniczna pytanie. Obydwa można mianować jednym zamówieniem. W tym miejscu chciałbym od razu zauważyć, że zdecydowanie zaleca się, aby wszelkie sformułowania były skoordynowane z tekstem przepisów, ponieważ inspektorzy bardzo często doszukują się w nich błędów. Przykładowo, jeśli po prostu wskażesz osobę odpowiedzialną za organizację przetwarzania PD jako odpowiedzialną za przetwarzanie PD, to z prawdopodobieństwem 99,9% regulator poprosi Cię o dokonanie zmian w dokumencie w trakcie procesu weryfikacji.

Co więcej, wiele osób o tym zapomina, ale Roskomnadzor wymaga: we wszystkich biurach, w których PD jest przetwarzana na papierze, należy zidentyfikować miejsca przechowywania (sejf, szafka, stojak) oraz osoby odpowiedzialne za zachowanie poufności PD w tym biurze. Mówiąc najprościej, wydajemy polecenie, w którym piszemy: „W biurze nr 1 zatwierdzamy sejf jako miejsce przechowywania, wyznaczamy takich, którzy są odpowiedzialni”.
Następnie należy powołać komisję klasyfikacyjną i komisję ds. zniszczenia PD. W skład komisji tych muszą wchodzić: przewodniczący komisji i co najmniej dwóch członków komisji. Obie komisje mogą być w 100% identyczne pod względem składu.

Następnie konieczne jest określenie osób upoważnionych do przetwarzania danych osobowych. Są to pracownicy, którzy pracują z danymi osobowymi zarówno pracowników organizacji, jak i klientów, subskrybentów i innych kategorii podmiotów. Ponadto dokument musi wskazywać, który pracownik ma dostęp do jakich danych, czy przetwarza te dane przy użyciu narzędzi automatyzacji, czy nie, a w przypadku przetwarzania zautomatyzowanego także jego rolę w systemie (użytkownik, administrator itp.). Należy w tym miejscu zaznaczyć, że każdy pracownik upoważniony do przetwarzania danych osobowych musi podpisać umowę o nieujawnianiu danych osobowych.

Kolejnym krokiem jest określenie kategorii danych osobowych, które podlegają u nas ochronie. Odbywa się to również na podstawie odrębnego zamówienia. Jest tu też kwestia, o której wiele osób zapomina, ale Roskomnadzor podczas kontroli pyta, czy dane osobowe stanowią szczególny przypadek informacji poufnej, dlatego taki wykaz również musi zostać zatwierdzony odrębnym zarządzeniem. To, co można zaliczyć do informacji poufnych, określa Dekret Prezydenta Federacji Rosyjskiej nr 188 z dnia 6 marca 1997 r. Wystarczy przepisać w zamówieniu pozycje związane z Twoją organizacją i gotowe.

Na koniec należy zatwierdzić w organizacji główny dokument regulujący ochronę danych osobowych. Zazwyczaj taki dokument nosi nazwę „Regulaminu przetwarzania i ochrony danych osobowych”. Tutaj opisujesz podstawowe pojęcia z zakresu prawodawstwa, celów i podstawy prawne przetwarzanie danych osobowych, prawa i obowiązki operatora, prawa i obowiązki podmiotu danych osobowych.

Będziesz także musiał opracować szereg logów; musisz pokazać Roskomnadzorowi, że prowadzisz regularne (a nie tylko jednorazowe) działania mające na celu ochronę danych osobowych. Pomogą Ci w tym na przykład „Dziennik informacyjny dotyczący bezpieczeństwa informacji” i „Dziennik kontroli ochrony danych osobowych”. Obowiązkowe jest (Roskomnadzor na pewno zapyta) musi istnieć rejestr wniosków obywateli, których dotyczą dane osobowe, dotyczących realizacji ich praw. Nie zapomnij również uzyskać dziennika kontroli przed inspekcją. osoby prawne organy regulacyjne.

Podsumowując wdrożenie dokumentacji organizacyjnej dotyczącej ochrony danych osobowych w Twojej organizacji, jeszcze raz powtarzam: ścisła listażadnych dokumentów. Możesz stworzyć jeden duży dokument o nazwie „Polityka ochrony danych osobowych”, w którym opiszesz wszystko, co wymieniłem powyżej, lub możesz rozbić go na wiele małych dokumentów. Możesz opublikować kilka różne zamówienia lub możesz jednym zleceniem wyznaczyć wszystkich odpowiedzialnych, określić osoby mogące przetwarzać dane osobowe itp.

Niemniej jednak jako przykład podam standardową listę dokumentów, które zwykle wdrażamy u naszych klientów:

• lista informacji poufnych;
• instrukcje administratora bezpieczeństwa informacji;
• zarządzenie w sprawie wyznaczenia osób odpowiedzialnych za organizację przetwarzania danych osobowych oraz wykaz środków ochrony danych osobowych;
• wykaz danych osobowych podlegających ochronie;
• zarządzenie o zatwierdzeniu miejsc przechowywania danych osobowych;
• instrukcje dla użytkowników systemu informacji o danych osobowych;
• zlecenie powołania komisji ds. zniszczenia danych osobowych;
• procedurę tworzenia kopii zapasowych i przywracania funkcjonalności wyposażenia technicznego oraz oprogramowanie, bazy danych i narzędzia bezpieczeństwa informacji;
• plan audyty wewnętrzne reżim ochrony danych osobowych;
• w celu uruchomienia systemu informacji o danych osobowych;
• rejestr nośników systemu informacji o danych osobowych;
• dziennik działań monitorujących ochronę danych osobowych;
• rejestr żądań obywateli, których dane osobowe dotyczą, w zakresie realizacji przysługujących im praw;
• zasady przetwarzania danych osobowych bez użycia narzędzi automatyzacji;
• przepis dotyczący określenia praw dostępu do przetwarzanych danych osobowych;
• akt klasyfikacji systemu informatycznego danych osobowych;
• instrukcje dotyczące przeprowadzenia kontroli antywirusowej w systemie teleinformatycznym;
• instrukcje dotyczące organizacji ochrony hasłem;
• dziennik okresowych testów narzędzi bezpieczeństwa informacji;
• forma aktu zniszczenia dokumentów zawierających dane osobowe;
• umowa o nieujawnianiu danych osobowych;
• dziennik sprzętu służącego do zapewnienia bezpieczeństwa informacji;
• dziennik odpraw dotyczący bezpieczeństwa informacji;
• instrukcje dla użytkownika dotyczące zapewnienia bezpieczeństwa w sytuacjach awaryjnych;
• kolejność na liście osób upoważnionych do przetwarzania danych osobowych;
• rozporządzenie o przetwarzaniu i ochronie danych osobowych;
• plan działań zapewniający bezpieczeństwo danych osobowych;
• model zagrożeń bezpieczeństwa w systemie teleinformatycznym danych osobowych.

A więc coś takiego, znowu lista może być znacznie szersza lub znacznie węższa, wszystko zależy od tego, co będzie zapisane w każdym z dokumentów, ważna jest tutaj treść. Próbki wszystkich dokumentów są dość łatwe do wyszukiwania w Google.

Wiele osób zapewne zauważyło, że na liście dokumentów znajduje się wiele dokumentów regulujących zautomatyzowane przetwarzanie i ochronę danych osobowych w systemach informatycznych. Pomimo faktu, że podczas kontroli Roskomnadzor płaci więcej uwagi Nie ma to znaczenia w przypadku dokumentowego zapewnienia ochrony WNZ, a nie technicznego - im więcej dokumentów dostarczysz w sprawie ochrony WNZ, tym więcej plusów otrzymasz w swojej karmie od regulatora.

Kończąc część dotyczącą dokumentów, zwrócę uwagę na jeszcze kilka punktów, na które należy zwrócić uwagę. Po pierwsze, do wszystkich powyższych dokumentów należy dołączyć kartę zapoznawczą i wszystkie osoby, których ten dokument dotyczy (czy jest to instrukcja, czy polecenie) muszą podpisać, że zapoznały się z kartką papieru. Po drugie, w opisie stanowisk pracy wszystkich osób upoważnionych do przetwarzania danych osobowych musi znaleźć się zapis „Pracując z danymi osobowymi, kieruj się przepisami o przetwarzaniu i ochronie danych osobowych”. I po trzecie, oprócz dokumentów wewnętrznych, konieczne jest opracowanie jednego publicznego. Zwykle nazywa się to „Polityką przetwarzania danych osobowych”. Dokument taki należy zamieścić na stronie internetowej operatora PD lub w przypadku braku strony internetowej na tablica informacyjna w biurze lub w innym miejscu publicznym. Możesz także wyszukać w Google wiele przykładów zasad.

Orzecznictwo

Pomimo tego, że punkt ten dotyczy bardziej zabezpieczeń technicznych (wszak certyfikacja przeprowadzana jest wtedy, gdy nasz system informacyjny jest w pełni obciążony narzędziami zapewniającymi bezpieczeństwo informacji), to i tak chciałem tutaj powiedzieć kilka słów na ten temat. Po prostu bardzo często słyszę od stałych klientów, że zostali poddani praniu mózgu, że certyfikacja systemów informatycznych danych osobowych jest obowiązkowa. Pamiętaj raz na zawsze – to wszystko BAS! W przepisach o certyfikacji obiektów informatyzacji jest to czarno na białym napisane obowiązkowa certyfikacja Tylko obiekty zawierające tajemnica państwowa i obiektów niebezpiecznych dla środowiska. Dlatego te wszystkie bzdury o obowiązkowej certyfikacji ISPD to po prostu machinacje pozbawionych skrupułów integratorów, którzy chcą po raz kolejny zarobić na łatwowiernym kliencie.

Certyfikacja ISPD może być obowiązkowa tylko wtedy, gdy Twoja organizacja podlega wyższej władzy, a ta właśnie zleciła Ci certyfikację wszystkich Twoich ISPD.

Chociaż sam szef organizacji może chcieć certyfikacji, ponieważ certyfikat zgodności wyraźnie potwierdza, że ​​​​twój systemy informacyjne w pełni przestrzegać prawa, zarówno pod względem wsparcia dokumentacyjnego, jak i pod względem zabezpieczenie techniczne. W takim przypadku należy pamiętać, że jednym z warunków ważności certyfikatu jest niezmienność warunków pracy ISPD. Oznacza to, że z grubsza nie można zmienić monitora w miejscu pracy ani zainstalować dodatkowego oprogramowania bez zgody jednostki certyfikującej, a to pociąga za sobą dodatkowe koszty. Warto też pamiętać, że certyfikat zgodności można wystawić maksymalnie na trzy lata, po czym wszystko zacznie się od nowa.
Wracając do naszego głównego tematu - przygotowań do inspekcji w Roskomnazdor, chcę powiedzieć, że przez wszystkie pięć lat pracy w tym obszarze inspektorzy ani razu nie wymagali Certyfikatu Zgodności.

Zamiast wniosków

Listów jest dość dużo i myślę, że czas zakończyć, zwłaszcza że po wykonaniu opisanych powyżej działań możemy powiedzieć, że jesteście już prawie gotowi na kontrolę przez Roskomnadzor. Mimo to jeszcze raz spróbuję krótko sformułować główne kroki, których wdrożenie pomoże z dużym prawdopodobieństwem uzyskać pozytywny wniosek na podstawie wyników audytu i kilku innych punktów, które nie są uwzględnione w artykuł:

• Powiadomienie operatora. Należy sprawdzić obecność zawiadomienia, a także prawdziwość informacji w nim zawartych.
• Roskomnadzor nie będzie sprawdzał Twoich systemów informacji o danych osobowych; funkcje te są przypisane do FSTEC Rosji i FSB Rosji (w przypadku korzystania z narzędzi szyfrujących), więc skup się na wsparciu dokumentacyjnym i informowaniu swoich pracowników.
• Nie sądzę, że warto jeszcze raz wspominać, że jeśli otrzymasz kontrolę z Roskomnadzoru, a w dziale HR ktoś ma stos kserokopii czyichś paszportów leżących bez nadzoru na biurku, to będzie to epicka porażka.
• Jeśli po wszystkim, co przeczytałeś i po wszystkich wykonanych czynnościach, nadal masz pytania, nie bądź leniwy (a tym bardziej nie bój się ani nie zawstydzaj), zadzwoń do regionalnego oddziału Roskomnadzor. Zadaj wszelkie pytania, jakie możesz mieć. Z reguły łatwo się do nich dotrzeć (w porównaniu do wielu innych agencji rządowych), a pracownicy RKN udają się na spotkanie i przedstawiają swoją wizję niektórych kontrowersyjnych kwestii. W niektórych przypadkach takie wezwanie jest wręcz niezbędne, gdyż często nasze ustawodawstwo można interpretować na dwa sposoby, a zdarza się nawet, że ten sam pracownik RKN ma dziś inny punkt widzenia na problem, a inny jutro.
• Lepiej jest zebrać zgodę na przetwarzanie danych osobowych od wszystkich podmiotów. Tak, prawo zawiera wykaz przypadków, w których zgoda nie jest wymagana, np. gdy stroną jest operator i podmiot stosunki umowne. ALE tutaj należy pamiętać, że przetwarzanie danych biometrycznych i specjalnych kategorii danych osobowych, a także przekazywanie PDn trzeci osobom odbywają się WYŁĄCZNIE za zgodą podmiotu. W każdym razie wyrażenie zgody na przetwarzanie danych osobowych uwalnia Cię od wielu różnych przykrych problemów. A jeśli istnieje możliwość zebrania tych zgód, to lepiej to zrobić. Tutaj przy okazji, podobnie jak w przypadku zgłoszenia, musisz pamiętać, że informacje określone w zgodzie muszą pokrywać się z tym, co i jak faktycznie przetwarzasz.
• Na początku audytu pokaż organom regulacyjnym chęć współpracy i skorygowania wszelkich uchybień zidentyfikowanych podczas samego audytu. Nie da się przygotować idealnie; w każdym razie będą pewne uwagi. Nie jest to straszne, można je wyeliminować w trakcie procesu weryfikacji, który zwykle trwa 20 dni. Wyeliminowanie uwag nie będzie miało negatywnego wpływu na treść protokołu końcowego.

Prawdopodobnie na tym zakończę. Jak widać kontrole RKN nie są tak straszne, jak mogłoby się wydawać na pierwszy rzut oka. Jeśli czytelnicy mają jakieś pytania lub sugestie dot poniższe artykuły w temacie PD postaram się odpowiedzieć na wszystko i wszystko wziąć pod uwagę.

Zawierające normy prawa pracy, dla szeregu osób,

W czasie i przestrzeni

Wykład 4. Przedmioty prawa pracy

Pojęcie, właściwości i klasyfikacja podmiotów prawa pracy

Głównymi podmiotami prawa pracy są pracownicy i pracodawcy

Związki zawodowe jako podmioty prawa pracy

Zbiorowość pracowników jako podmiot pomocniczy prawa pracy

Wykład 5. Prawa związków zawodowych w zakresie stosunków pracy

Podstawy prawne działalności związków zawodowych

Podstawowe uprawnienia związków zawodowych i ich klasyfikacja

Wykład 6. Stosunki prawne z zakresu prawa pracy

Pojęcie i struktura stosunków pracy

Stosunki prawne bezpośrednio związane z pracą

Fakty prawne (podstawy) powstania, zmiany i rozwiązania stosunków pracy

Wykład 7. Partnerstwo społeczne w świecie pracy

System partnerstwa społecznego w sferze pracy

Pojęcie i treść układów zbiorowych

Umowy o partnerstwie społecznym

Część specjalna Wykład 8. Prawne regulacje zatrudnienia

Pojęcie zatrudnienia

Prawna organizacja zatrudnienia

Wykład 9. Umowa o pracę: koncepcja, strony, treść i tryb zawarcia

1. Pojęcie, strony i treść umowy o pracę

2. Rodzaje umów o pracę

3. Procedura zawarcia umowy o pracę (zatrudnienia)

Pojęcie, strony i treść umowy o pracę

Rodzaje umów o pracę

Procedura zawarcia umowy o pracę (zatrudnienia)

Wykład 10. Zmiana umowy o pracę

Przeniesienie do innej pracy i przeniesienie się do innego miejsca pracy

Przeniesienie do innej pracy i przeniesienie się do innego miejsca pracy

Tymczasowe przeniesienie na inną pracę i zawieszenie w pracy

Wykład 11. Rozwiązanie umowy o pracę

1. Ogólne podstawy rozwiązania umowy o pracę

1. Porozumienie stron (klauzula 1 art. 77, art. 78 Kodeksu pracy Federacji Rosyjskiej).

2. Wygaśnięcie umowy o pracę, z wyjątkiem przypadków, gdy stosunek pracy faktycznie trwa i żadna ze stron nie żądała jego rozwiązania (art. 77 ust. 2 Kodeksu pracy Federacji Rosyjskiej).

9. Odmowa przeniesienia pracownika do pracy w innym obszarze wraz z pracodawcą (część 1 art. 72 Kodeksu pracy Federacji Rosyjskiej).

2. Rozwiązanie umowy o pracę z inicjatywy pracownika (zwolnienie na jego wniosek)

3. Rozwiązanie umowy o pracę z inicjatywy pracodawcy

Likwidacja organizacji lub zakończenie działalności przez indywidualnego przedsiębiorcę.

2. Zmniejszenie liczby lub personelu pracowników organizacji lub indywidualnego przedsiębiorcy.

3. Nieadekwatność pracownika do zajmowanego stanowiska lub wykonywanej pracy spowodowana niewystarczającymi kwalifikacjami potwierdzonymi wynikami certyfikacji.

4. Zmiana właściciela majątku organizacji (w stosunku do kierownika organizacji, jego zastępców i głównego księgowego).

Powtarzające się niewykonywanie przez pracownika obowiązków służbowych bez uzasadnionego powodu, jeśli został ukarany sankcją dyscyplinarną.

6. Jednorazowe rażące naruszenie obowiązków pracowniczych przez pracownika:

4. Rozwiązanie umowy o pracę na skutek okoliczności niezależnych od stron

Wykład 12. Ochrona danych osobowych pracowników

1. Pojęcie danych osobowych pracowników, ogólne wymagania dotyczące przetwarzania danych osobowych i gwarancje ich ochrony

Przekazywanie danych osobowych pracowników

Wykład 13. Godziny pracy i godziny pracy

Koncepcja czasu pracy

Standaryzacja i rodzaje czasu pracy

Praca poza ustalonymi godzinami pracy

Godziny pracy i ewidencja czasu pracy

Wykład 14. Czas odpoczynku i jego rodzaje

Pojęcie i rodzaje czasu odpoczynku

2. Rodzaje i tryb udzielania urlopów

Wykład 15. Regulacje dotyczące wynagrodzeń i pracy

Płace i systemy wynagradzania

2. Wynagrodzenie w przypadku pracy wykonywanej w warunkach odbiegających od normalnych

3. Racjonowanie pracy

Wykład 16. Gwarancje i odszkodowania dla pracowników w prawie pracy

1. Pojęcie gwarancji i odszkodowań pracowniczych

2. Gwarancje i odszkodowania związane z produkcją i działaniami pracodawcy, prawo pracownika do płatnego urlopu i skróconego wymiaru czasu pracy

Odprawa (art. 178 Kodeksu pracy Federacji Rosyjskiej).

4. Dodatkowe gwarancje i rekompensata.”

3. Gwarancje i odszkodowania związane z wykonywaniem obowiązków państwowych i publicznych

4. Gwarancje i wynagrodzenie związane z jednoczesną pracą i szkoleniem pracownika

Wykład 17. Dyscyplina pracy

1. Prawne regulacje dyscypliny pracy i regulamin pracy

3. Metoda przymusu.

2. Nagrody za pracę

3. Sankcje dyscyplinarne i tryb ich stosowania

Wykład 18. Regulacje prawne szkolenia zawodowego, przekwalifikowania i doskonalenia zawodowego pracowników

1. Uprawnienia pracowników i pracodawców w zakresie doskonalenia zawodowego, przekwalifikowania i doskonalenia zawodowego

2. Umowa studencka

Wykład 19. Podstawy prawne ochrony pracy

1. Pojęcie, regulacje prawne i organizacja ochrony pracy

2. Wymagania bezpieczeństwa pracy

3. Zapewnienie pracownikom praw do ochrony pracy

3. Zapewnienie pracownikom praw do ochrony pracy

4. Badanie wypadków przemysłowych

Wykład 20, Odpowiedzialność materialna stron umowy o pracę

1. Pojęcie i przesłanki powstania odpowiedzialności materialnej strony umowy o pracę

2. Odpowiedzialność finansowa pracodawcy wobec pracownika

3. Odpowiedzialność materialna pracownika za szkodę wyrządzoną pracodawcy

2. Jeżeli brakuje rzeczy wartościowych powierzonych pracownikowi na podstawie specjalnej pisemnej umowy lub otrzymanych przez niego na podstawie dokumentu jednorazowego.

3. W przypadku umyślnego wyrządzenia szkody przez pracownika.

4. Jeżeli szkoda powstała w stanie upojenia alkoholowego, narkotykowego lub innego toksycznego zatrucia.

5. Jeżeli szkoda powstała w wyniku przestępczego działania pracownika stwierdzonego wyrokiem sądu.

6. Jeżeli szkoda powstała w wyniku naruszenia administracyjnego, jeżeli zostało to stwierdzone przez odpowiedni organ rządowy.

7. Przy ujawnianiu informacji stanowiących tajemnicę prawnie chronioną (stanową, urzędową, handlową lub inną), w przypadkach przewidzianych przez prawo federalne.

8. Jeżeli szkoda powstała w czasie niewykonywania przez pracownika obowiązków służbowych.

Wykład 21. Ochrona praw i wolności pracowniczych

Pojęcie i metody ochrony praw i wolności pracowniczych

2. Nadzór i kontrola państwa nad przestrzeganiem prawa pracy

Wykład 12. Ochrona danych osobowych pracowników

Zgodnie z art. 23 Konstytucji Federacji Rosyjskiej każdy ma prawo do immunitetu prywatność, tajemnic osobistych i rodzinnych, ochrona czci i dobrego imienia. Realizację tego prawa zapewniają przepisy art. 24 Konstytucji, który stanowi, że zbieranie, przechowywanie, wykorzystywanie i rozpowszechnianie informacji o życiu prywatnym człowieka bez jego zgody jest niedozwolone. Powszechna Deklaracja Praw Człowieka (art. 12) stanowi, że nikt nie może być poddawany samowolnej ingerencji w jego dobro osobiste lub życie rodzinne, samowolnych ataków na nienaruszalność jego mieszkania, tajemnicę jego korespondencji lub na jego honor i dobre imię. Każdy człowiek ma prawo do ochrony prawnej przed taką ingerencją lub atakami. Podobna zasada zawarta jest w Międzynarodowym Pakcie cywilnym i prawa polityczne(w. 17).

Zasady regulujące ochronę danych osobowych pracowników pojawiły się po raz pierwszy w krajowym prawie pracy dopiero wraz z przyjęciem Kodeks Pracy RF. Zawarte są one w rozdz. 14 Kodeksu pracy Federacji Rosyjskiej, zawarty w sekcji „Umowa o pracę”. Umieszczenie w Kodeksie pojęcia „dane osobowe pracownika” wynika z konieczności usprawnienia relacji w zakresie otrzymywania i wykorzystywania przez pracodawcę danych osobowych pracownika oraz określenia jasnych zasad ochrony tych informacji przed ich niewłaściwym wykorzystaniem.

1. Pojęcie danych osobowych pracowników, ogólne wymagania dotyczące przetwarzania danych osobowych i gwarancje ich ochrony

Zgodnie z art. 85 Kodeksu pracy Federacji Rosyjskiej danymi osobowymi pracownika są informacje niezbędne pracodawcy w związku ze stosunkami pracy i dotyczące konkretnego pracownika.

Definicja ta opiera się na postanowieniach Konwencji Rady Europy „O ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych” z dnia 28 stycznia 19811 r. w art. 2, z czego „dane osobowe” oznaczają informacje dotyczące konkretnej lub możliwej do zidentyfikowania osoby (osoby, której dane dotyczą).

Artykuł 3 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ „O danych osobowych”2 (zwanej dalej ustawą o danych osobowych) definiuje dane osobowe jako wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie takich informacji (przedmiot danych osobowych). Jednocześnie informacja zgodnie z ustawą federalną z dnia 27 lipca 2006 r. nr 149-FZ „O informacji, technologiach informacyjnych i ochronie informacji”1 oznacza każdą informację (wiadomości, dane) niezależnie od formy jej prezentacji.

Dane osobowe pracowników mogą być dwojakiego rodzaju: dane reprezentujące fakty, które nie podlegają subiektywnej ocenie (na przykład specjalność pracownika nabyta po ukończeniu instytucji edukacyjnej); dane oceniające, które mogą w szczególności być zawarte w charakterystyce pracownika, wnioskach komisji certyfikacyjnej itp.

Wszelkie informacje stanowiące informację o pracowniku, ze względu na moment ich otrzymania i pobytu u pracodawcy, można podzielić na trzy grupy:

a) informacje podawane przez pracownika podczas ubiegania się o pracę;

b) informacje wytworzone i otrzymane przez pracodawcę w danym okresie aktywność zawodowa pracownik;

c) informacje o pracowniku przechowywane przez pracodawcę po ustaniu z nim stosunku pracy.

Przez przetwarzanie danych osobowych Konwencja z dnia 28 stycznia 1981 r. rozumie gromadzenie danych, wykonywanie operacji logicznych i (lub) arytmetycznych na tych danych, ich modyfikację, usuwanie, przywracanie lub rozpowszechnianie. Artykuł 85 Kodeksu pracy Federacji Rosyjskiej co do zasady podobnie definiuje pojęcie przetwarzania danych osobowych pracownika – jako otrzymywanie, przechowywanie, łączenie, przekazywanie lub inne wykorzystanie danych osobowych pracownika.”

Jak widać, ustawodawca zdefiniował cztery formy przetwarzania danych osobowych w zakresie stosunki pracy- odbiór, przechowywanie, wykorzystanie i przekazywanie.

Dane osobowe pracowników, czyli informacje, którymi dysponuje pracodawca, zarówno w zakresie ich ręcznego przetwarzania, jak i w przypadku korzystania z zautomatyzowanych systemów informatycznych, mogą w pewnym stopniu stać się jawne i prowadzić do naruszenia ich interesów i praw, powodując szkody moralne i materialne. W związku z tym Kodeks pracy Federacji Rosyjskiej ustanawia zasady leżące u podstaw przetwarzania danych osobowych pracownika, przepisy dotyczące procedury ich przechowywania i wykorzystywania w organizacji, przekazywania danych osobowych, prawa pracownika do ochrony im, w sprawie odpowiedzialności osób za nieprzestrzeganie wymogów przepisów regulujących przetwarzanie i ochronę danych osobowych pracowników.

Zgodnie z art. 7 ustawy o danych osobowych i ust. 1 Wykazu informacji poufnych zatwierdzonego dekretem Prezydenta Federacji Rosyjskiej z dnia 6 marca 1997 r. nr 188”, dane osobowe pracownika jako informacja o faktach, zdarzeniach i okolicznościach życia prywatnego obywatela, pozwalająca na identyfikację jego osobowości, odnosi się do szeregu informacji poufnych. Taki reżim prawny danych osobowych pracownika zakłada specjalną procedurę pracy z tymi danymi i specjalny reżim ich ochrony.

Konwencja Rady Europy „O ochronie osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych” nakłada dość rygorystyczne wymagania dotyczące pracy z danymi osobowymi. Dane osobowe muszą: być pozyskiwane i przetwarzane w sposób rzetelny i zgodny z prawem; gromadzone dla oznaczonych i zgodnych z prawem celów i niewykorzystywane niezgodnie z tymi celami; być adekwatne, stosowne i nienadmierne w stosunku do celów, dla których są zbierane; być dokładne i w razie potrzeby aktualizowane; przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy niż wynika to z celu, dla którego są zbierane.

Podstawowe zasady przetwarzania danych osobowych w Federacji Rosyjskiej są zgodne z wymogami niniejszej Konwencji i zawarte są w art. 5 ustawy o danych osobowych. Należą do nich: zgodność z prawem celów i sposobów przetwarzania danych osobowych; zgodność celów przetwarzania danych z celami z góry określonymi i podanymi przy zbieraniu danych osobowych oraz z uprawnieniami operatora; zgodność ilości i charakteru przetwarzanych danych osobowych oraz sposobów ich przetwarzania z celami przetwarzania danych osobowych; wiarygodność danych osobowych, ich wystarczalność do celów przetwarzania, niedopuszczalność przetwarzania danych w sposób nadmierny w stosunku do celów, jakie przy zbieraniu danych osobowych; niedopuszczalność łączenia baz danych systemów informatycznych danych osobowych stworzonych w niezgodnych celach.

Ponadto ustalono, że przetwarzanie danych osobowych może być realizowane przez operatora wyłącznie za zgodą podmiotów danych osobowych, z wyjątkiem przypadków przewidzianych w części 2 art. 6 tej ustawy.

W art. 86 Kodeksu pracy Federacji Rosyjskiej zawiera następujące wymagania dla rosyjskich pracodawców i ich przedstawicieli, mające na celu zapewnienie praw i wolności człowieka i obywatela przy przetwarzaniu danych osobowych pracowników.

1. Przetwarzanie danych osobowych pracownika może odbywać się wyłącznie w celach: zapewnienia zgodności z przepisami prawa i innymi regulacyjnymi aktami prawnymi; pomoc pracownikom w zatrudnieniu, szkoleniu i awansie zawodowym; zapewnienie bezpieczeństwa osobistego pracowników; Operator oznacza organ państwowy, organ samorządowy, organ prawny lub indywidualny, organizowania i (lub) przeprowadzania przetwarzania danych osobowych, a także ustalania celów i treści przetwarzania danych osobowych. Tym samym każdy pracodawca jest operatorem danych osobowych swoich pracowników, kontrolującym ilość i jakość wykonywanej pracy; zapewnienie bezpieczeństwa mienia.

2. Ustalając zakres i treść przetwarzanych danych osobowych pracownika, pracodawca musi kierować się Konstytucją Federacji Rosyjskiej, Kodeksem pracy i innymi przepisami federalnymi.

Zatem zgodnie z art. 65 Kodeksu pracy Federacji Rosyjskiej, przy zatrudnianiu pracodawca otrzymuje następujące informacje o pracowniku: o potwierdzonym stażu pracy książka pracy; o rejestracji pracownika w obowiązkowym ubezpieczeniu emerytalnym, potwierdzonej odpowiednim zaświadczeniem o ubezpieczeniu; o statusie pracownika w rejestracji wojskowej, potwierdzonym dokumentami rejestracja wojskowa; o wykształceniu, kwalifikacjach pracownika, czy posiada on specjalną wiedzę (w przypadku ubiegania się o pracę wymagającą specjalnej wiedzy lub specjalne szkolenie); o wieku pracownika, dacie i miejscu urodzenia, miejscu rejestracji, potwierdzonym paszportem lub innym dokumentem tożsamości; o obecności lub braku obowiązków rodzinnych pracownika, co potwierdza paszport.

Listę standardowych danych osobowych pracownika otrzymanych od niego przez pracodawcę można również ustalić na podstawie uchwały Państwowego Komitetu Statystycznego Federacji Rosyjskiej z dnia 5 stycznia 2004 r. nr 1, która w szczególności zatwierdziła formularz imiennej karty pracownika. Informacje zawarte w karcie, poza wymienionymi powyżej, obejmują dane dotyczące znajomości języka obcego, innych najbliższych osób bliskich (z wyjątkiem małżonka i dzieci), aktualny adres miejsce zamieszkania, numer telefonu domowego. Ponieważ jednak prawo federalne nie przewiduje otrzymania tych informacji, odmowa ich przekazania przez pracownika nie może prowadzić do niekorzystnych konsekwencji dla niego.

Ze względu na swoje obowiązki jako agenta podatkowego pracownika (art. 24 Ordynacji podatkowej Federacji Rosyjskiej) pracodawca musi posiadać także informacje o numerze identyfikacyjnym podatnika osoby fizycznej (o ile taki numer jest dostępny), a także informacje o podstawa, na podstawie której dokonywane są odliczenia podatkowe (inicjatywa w jej świadczeniu z reguły sam pracownik wykazuje).

W niektórych przypadkach przewidzianych przez prawo federalne pracodawca może uzyskać informacje o stanie zdrowia pracownika poprzez przeprowadzenie badań lekarskich przy zawieraniu umowy o pracę, okresowych i nadzwyczajnych badań lekarskich (art. 213 Kodeksu pracy Federacji Rosyjskiej) oraz informacji o rejestracja odcisków palców pracowników.

3. Od niego należy pozyskać wszelkie dane osobowe pracownika. Jeżeli dane osobowe pracownika można pozyskać jedynie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę.

Pracodawca ma obowiązek poinformować pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze danych osobowych, które mają zostać pozyskane oraz o konsekwencjach odmowy wyrażenia przez pracownika pisemnej zgody na ich otrzymanie.

Zawiadomienie pracownika o zamiarze otrzymania jego danych osobowych od innej osoby następuje zazwyczaj w formie odpowiedniego zawiadomienia okazywanego pracownikowi za pokwitowaniem. Jeżeli pracownik odmówi, sporządzany jest protokół.

4. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika, dotyczących jego przekonań politycznych, religijnych i innych oraz życia prywatnego. W sprawach bezpośrednio związanych ze stosunkiem pracy pracodawca ma prawo otrzymywać i przetwarzać dane dotyczące życia prywatnego pracownika wyłącznie za jego pisemną zgodą.

Informacje o przekonania religijne pracownik może mieć szczególne znaczenie, gdy pracownik zawiera umowę o pracę z organizacją wyznaniową, jeżeli jego funkcja zawodowa wiąże się z udziałem w sprawowaniu obrzędów religijnych.

Dane dotyczące życia prywatnego przekazywane są bezpośrednio przez pracownika w celu realizacji jego prawa pracownicze i zainteresowania. Informacje dotyczące życia prywatnego obejmują przede wszystkim informacje o obowiązkach rodzinnych pracownika, obecności lub braku dzieci oraz ich wieku.

5. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika dotyczących jego członkostwa w stowarzyszeniach publicznych lub działalności związkowej, z wyjątkiem przypadków przewidzianych w Kodeksie pracy Federacji Rosyjskiej lub innych prawa federalne.

Tym samym Kodeks pracy nakłada na pracodawcę obowiązek, przed zwolnieniem pracownika będącego członkiem związku zawodowego, w niektórych przypadkach zasięgnięcia uzasadnionej opinii organu podstawowej organizacji związkowej (art. 82). W związku z tym Kodeks skutecznie nakłada na pracodawcę obowiązek gromadzenia i przetwarzania informacji o przynależności pracownika do określonej organizacji związkowej i jego działalności związkowej, a związek zawodowy do przekazywania takich informacji na żądanie pracodawcy.

6. Pracodawca przy podejmowaniu decyzji mających wpływ na interes pracownika nie ma prawa opierać się na danych osobowych pracownika uzyskanych wyłącznie w wyniku ich zautomatyzowanego przetwarzania lub otrzymania drogą elektroniczną.

Zasada ta została wprowadzona ze względu na fakt, że bazy danych przechowywane w formie elektronicznej, w większym stopniu niż informacje zawarte na papierze, są podatne na nieuprawnione wdrożenie i modyfikację lub poprawki dokonane w wyniku awarii programu komputerowego.

7. Ochronę danych osobowych pracownika przed bezprawnym wykorzystaniem lub utratą musi zapewnić pracodawca na jego koszt w sposób określony w Kodeksie pracy Federacji Rosyjskiej lub innych przepisach federalnych.

Ochrona danych osobowych, a także ochrona wszelkich informacji, zgodnie z art. 16 ustawy federalnej „O informacjach, technologiach informacyjnych i ochronie informacji” oznacza przyjęcie środków prawnych, organizacyjnych i technicznych mających na celu: zapewnienie ochrony informacji przed nieuprawnionym dostępem, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, dystrybucją, a także inne działania niezgodne z prawem; zachowanie poufności informacji zastrzeżonych; zapobieganie zagrożeniom bezpieczeństwa jednostki, społeczeństwa i państwa; realizacja prawa dostępu do informacji.

Ochronie podlegają wszelkie dane osobowe pracownika, których nielegalne obchodzenie się może wyrządzić szkodę zarówno jemu (właścicielowi informacji), pracodawcy (właścicielowi informacji), użytkownikowi informacji, jak i innej osobie.

Podstawowe zasady ochrony danych osobowych są zapisane w Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 1981 r. oraz w Kodeksie postępowania w zakresie ochrony danych osobowych pracowników, opracowanym i zatwierdzonym przez MOP w 1996.

8. Pracownicy i ich przedstawiciele muszą zostać zapoznani, za podpisem, z dokumentami pracodawcy określającymi tryb przetwarzania danych osobowych pracowników oraz ich prawa i obowiązki w tym zakresie.

Zgodnie z art. 87 Kodeksu pracy Federacji Rosyjskiej procedurę przechowywania i wykorzystywania danych osobowych pracowników ustala pracodawca zgodnie z wymogami Kodeksu pracy i innych przepisów federalnych. Dane osobowe pracownika przechowywane są w formie udokumentowanej, o charakterze której decyduje także pracodawca. Ujednolicony wykaz dokumentacji do rejestrowania pracy i jej płatności został ustalony dekretem Państwowego Komitetu Statystycznego Federacji Rosyjskiej z dnia 5 stycznia 2004 r. Nr 1. Dokumenty zawierające informacje o konkretnym pracowniku stanowią jego akta osobowe. Okresy przechowywania danych osobowych pracowników ustalane są na podstawie Wykazu standardowych dokumentów zarządczych generowanych w działalności organizacji, wskazujących okresy przechowywania, zatwierdzonych przez szefa Federalnej Służby Archiwalnej Rosji w dniu 6 października 2000 r.

Zdaniem ekspertów pracodawca musi opracować specjalny lokalny regulacyjny akt prawny, który powinien zawierać: wykaz informacji związanych z danymi osobowymi pracownika dla różnych kategorii stanowisk; tryb pozyskiwania danych osobowych od osób trzecich, łącznie z konsekwencjami dla pracownika w przypadku odmowy wyrażenia zgody na ich otrzymanie; tryb przetwarzania, przechowywania i wykorzystywania danych osobowych, ustalenie indywidualnych obowiązków przedstawicieli pracodawcy i odpowiedzialności za ich naruszenie; prawa i obowiązki pracowników w zakresie ochrony swoich danych osobowych; tryb zapoznawania z ustawą wszystkich pracowników, a także nowozatrudnionych pracowników.

9. Pracownicy nie powinni zrzekać się prawa do zachowania i ochrony tajemnicy. Odmowa tych praw może naruszyć prywatność pracowników, ich tajemnice osobiste i rodzinne oraz wyrządzić szkody moralne i materialne.

10. Pracodawcy, pracownicy i ich przedstawiciele muszą wspólnie opracować środki ochrony danych osobowych pracowników.

W szczególności przedstawiciele pracowników mogą uczestniczyć w opracowywaniu lokalnych przepisów regulujących przechowywanie i wykorzystywanie danych osobowych pracowników.

Informacje o tożsamości osoby, w tym dane osobowe, podlegają ochronie prawnej. W Rosji zabrania się przekazywania informacji o osobie obcym bez jej wiedzy. Przewidziana jest za to kara - zarówno administracyjna, jak i karna! Oficerowi personalnemu grozi pociągnięcie do odpowiedzialności, jeśli wymagania prawne dotyczące ochrony danych osobowych zostaną naruszone. Przyjrzyjmy się szczegółowo, czym są dane osobowe pracownika, pojęciem i ich ochroną.

Ramy regulacyjne

Głównym prawem regulującym ochronę informacji o pracownikach jest ustawa federalna nr 152 z dnia 27 lipca 2006 r. Prawo określa, w jaki sposób należy przetwarzać dane osobowe. Przetwarzanie w naszym przypadku oznacza gromadzenie dokumentów pracowniczych (dokumentów osobowych i zleceń pracy), tworzenie teczki osobowej oraz pracę z programami komputerowymi personelu, w których wprowadzane są dane osobowe.

Podanie danych osobowych

Podanie danych osobowych jest przekazywanie raportów zawierających dane osobowe władzom, którzy mają prawo tego żądać . Na przykład do służby statystycznej lub urzędu rejestracji i poboru do wojska.

Zgodnie z prawem podmiot gospodarczy (w naszym przypadku urzędnik ds. kadr), tworzący akta osobowe pracowników, ma bezpośredni dostęp do danych osobowych wszystkich pracowników organizacji, w związku z czym ponosi osobistą odpowiedzialność w przypadku ujawnienia dane osobowe.

W przypadku umyślnego lub przypadkowego ujawnienia danych osobowych, operator może zostać pociągnięty do odpowiedzialności na podstawie aż trzech kodeksów:

• praca (TC);
• administracyjny (kodeks administracyjny);
• kryminalny (CC).

Odpowiedzialność i kara zgodnie z Kodeksem Pracy:

• zwolnienie na podstawie klauzuli „c” art. 90 za ujawnienie informacji;
• nagana, nagana albo zwolnienie z art. 192 – za nienależyte wykonanie obowiązków.

Odpowiedzialność zgodnie z Kodeksem wykroczeń administracyjnych:

• kara grzywny w wysokości 500 – 1000 rubli (wymogi art. 13.11 – za naruszenie prawa);
• kara w wysokości 2500–3000 rubli (wymagania art. 13.12 - w przypadku korzystania z niecertyfikowanych programów komputerowych).

Odpowiedzialność na podstawie Kodeksu karnego:

• grzywna od 100 do 300 tysięcy rubli lub w wysokości dwuletniego wynagrodzenia albo pozbawienia prawa do wykonywania pracy personalnej na okres do 5 lat, a także istnieje możliwość pozyskania praca przymusowa do 4 lat lub aresztu do 6 miesięcy. Za zbieranie danych osobowych przez funkcjonariusza bez jego zgody możesz także zostać skazany na karę pozbawienia wolności na okres do 4 lat – zgodnie z częścią 2 art. 137.

Jak widzisz, kary są poważne, więc nie podejmuj ryzyka i dostosuj swoją pracę personelu do przepisu 152.

Co obejmuje dane osobowe pracownika

Dane osobowe w rozumieniu ustawodawcy to wszelkie informacje, które pośrednio lub bezpośrednio dotyczą pracownika. Pracownik HR ma dostęp do następujących danych osobowych:

• adres;
• telefon;
• dane paszportowe;
• stan cywilny;
• stanowisko i zawód;
• wielkość wynagrodzenia;
• numer zaświadczenia o ubezpieczeniu emerytalnym;
• dane osobowe dotyczące rejestracji wojskowej;
• miejsce pracy;
• informacje o stażu pracy i miejscach pracy;
• informację o przyczynach zwolnienia z poprzedniej pracy;
• informacje o długach (o alimenty lub pożyczki);
• dane dotyczące zdrowia (niepełnosprawności).

Jest to rodzaj informacji o pracownikach, które należy odpowiednio chronić.

Ochrona danych osobowych pracowników

Dokumenty działu HR dotyczące nomenklatury muszą zawierać Regulamin danych osobowych pracowników. Ten akt lokalny musi dokładnie przestrzegać przepisu 152. Sposób sporządzenia i zatwierdzenia rozporządzenia wyjaśnimy w osobnym artykule, ale na razie wróćmy do wymogów prawa.

Artykuł 19 Ustawy i Wymogów Ochrony Danych zobowiązuje inspektora personalnego do tego następujące środki o ochronie informacji:

• akta osobowe pracowników nie powinny być udostępniane osobom nieupoważnionym (powinny być przechowywane w sejfie);
• Programy komputerowe HR muszą być legalne i certyfikowane;
• ekran komputera, na którym zainstalowany jest program pracowniczy, nie powinien znajdować się w bezpośrednim świetle osób nieuprawnionych, podobnie jak sam komputer nie powinien być używany przez osoby nieuprawnione;
• Komputer, z którego korzysta funkcjonariusz personelu, nie powinien mieć dostępu do Internetu, aby uniknąć zagrożeń wirusowych i kradzieży informacji;
• Na polecenie przełożonych należy wyznaczyć kierownika ds. personalnych odpowiedzialnego za przechowywanie i przetwarzanie danych osobowych;
• wszystkie dyski flash, dyskietki lub dyskietki itp dokumenty papierowe zawierające dane osobowe muszą zostać odnotowane w rejestrze i przechowywane w sejfie;
• Nie możesz przesyłać danych osobowych (w tym skanów lub kopii dokumentów) faksem, e-mailem ani telefonem.

Uwaga: każdy funkcjonariusz personalny wykorzystuje niepotrzebne dokumenty jako projekty. Jeśli dokument zawiera dane osobowe (na przykład robisz notatki). tylna strona kopie czyjegoś paszportu) – nie zostawiaj go na stole, nie dawaj nikomu, nie wyrzucaj do śmieci! Lepiej natychmiast zniszczyć wszystkie niepotrzebne dokumenty zawierające dane.

Zgoda pracownika na przetwarzanie danych osobowych

Artykuł 6 ustawy wyjaśnia warunki przetwarzania danych osobowych: każdy pracownik musi wyrazić pisemną zgodę na przetwarzanie swoich danych. Zgoda pracownika jest niezwykle ważna, nie zapominaj o niej! W prawie pracownika nazywano „podmiotem danych osobowych”, od którego wystarczy uzyskać pisemną zgodę na przetwarzanie jego danych osobowych. Wszystko na temat zgody opisano w art. 9 ustawy.

Podstawową zasadą uzyskania zgody jest to, że podpis na dokumencie zgody musi zostać złożony własnoręcznie przez pracownika lub jego przedstawiciela przez pełnomocnika (do dokumentu należy dołączyć pełnomocnictwo).

Dokument zgody musi zawierać:

• Imię i nazwisko, adres, seria, numer, data i miejsce wydania paszportu pracownika (i przedstawiciela, jeśli jest pełnomocnictwo);
• Imię i nazwisko, stanowisko i miejsce pracy oficera personalnego;
• cel przetwarzania danych;
• lista danych osobowych;
• listę działań, które menedżer HR wykona na danych;
• okres ważności zgody (okres umowy o pracę);
• podpis pracownika z transkrypcją.

Praca oficera personalnego jest interesująca, ale nie zapominaj o odpowiedzialności. Aby nie dopuścić do nieprzyjemnej sytuacji, poruszamy tutaj kwestie: czym są dane osobowe pracownika, jaka jest ich koncepcja i jak je chronić.

Dane osobowe każdego obywatela Federacji Rosyjskiej podlegają ochronie ustawodawstwo rosyjskie. Jak zapobiec rozpowszechnianiu informacji o danych osobowych, jaka istnieje odpowiedzialność za naruszenie wymogów prawnych – o tym porozmawiamy w naszym artykule.

Dane osobowe (dalej – PD)- są to wszelkie informacje o osobie fizycznej, w szczególności imię i nazwisko, miejsce i data urodzenia, miejsce zamieszkania i zameldowania, stan społeczny, majątkowy i cywilny, zawód, wykształcenie, dochody itp. (klauzula 1 art. 3 ust. Ustawa federalna „O danych osobowych” „).

System prawny, na podstawie którego spełnione są wymagania ustawodawstwa Federacji Rosyjskiej dotyczące przechowywania, przetwarzania i przekazywania danych osobowych obywateli. Operatorem danych osobowych może być państwo lub organ miejski, a także osoba prawna lub fizyczna, która ma uprawnienia do określenia celu i treści, a także podjęcia szeregu środków organizacyjnych i technicznych związanych z ochroną danych osobowych przed zablokowaniem, zniszczeniem, kopiowaniem i innymi działaniami niezgodnymi z prawem ( Ustawa federalna nr 152 z dnia 27 lipca 2006 r. „O danych osobowych”).

W grudniu 2014 r Duma Państwowa W trzecim czytaniu przyjęto projekt ustawy o przechowywaniu na serwerach w Rosji danych osobowych obywateli przetwarzanych w Internecie. Według Romana Chuychenko, członka komisji ds. polityki informacyjnej, głównym celem projektu ustawy jest wzmocnienie bezpieczeństwa informacyjnego kraju i jego obywateli. Rozwiązanie to zostało podjęte ze względu na skomplikowaną sytuację międzynarodową. Ustawa ta weszła w życie 1 września 2015 roku.

Wejście w życie nowego rozporządzenia o ochronie danych osobowych wymaga od operatorów danych osobowych zapewnienia:

• terminowe wykrywanie nieuprawnionego dostępu do danych osobowych;
• zapobieganie wpływom środki techniczne osoby dokonujące zautomatyzowanego przetwarzania danych osobowych;
• możliwość szybkiego zareagowania na fakt nieuprawnionego dostępu i natychmiastowego przywrócenia danych osobowych w przypadku ich zniszczenia lub modyfikacji;
• stałe monitorowanie poziom ochrony danych osobowych.

Kategorie danych osobowych

Ustawodawstwo rosyjskie określa różne kategorie dane osobowe, które obejmują:

1. Publiczny PD - dane nie objęte klauzulą ​​poufności lub za zgodą podmiotu Federacji Rosyjskiej są dostępne bez ograniczeń krąg ludzi(książki telefoniczne, książki adresowe itp.). Można je wyłączyć ze źródeł na wniosek sądu lub samego podmiotu.

2. Kategorie specjalne PDn - dane dotyczące narodowości i rasy, stanu zdrowia, przekonań filozoficznych i religijnych, poglądy polityczne. Przetwarzanie tej kategorii danych osobowych dozwolone jest wyłącznie za pisemną zgodą podmiotu (niedozwolone), w przypadkach publicznego udostępnienia danych i braku możliwości uzyskania zgody podmiotu ze względu na jego stan zdrowia, a także w sprawy Przetwarzanie PDN do celów operacyjnych działań dochodzeniowych lub zgodnie z wymogami prawa karnego wykonawczego Federacji Rosyjskiej

4. Biometryczne dane osobowe - informacje o cechach fizjologicznych osoby, które pozwalają ustalić jej tożsamość. Biometryczne PD są przetwarzane zgodnie z art. 11 ustawy federalnej Federacja Rosyjska z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych” i jeśli jest dostępny pisemna zgoda podmiot danych osobowych (z wyjątkiem spraw związanych z zapewnieniem sprawiedliwości, wykonywaniem operacyjnych czynności dochodzeniowo-śledczych związanych ze służbą publiczną, prawem karnym wykonawczym). Biometryczne dane osobowe obejmują zdjęcia i obrazy wideo osób.

Dane osobowe pracownika

W prawo cywilne W Federacji Rosyjskiej istnieje koncepcja danych osobowych pracownika, która zakłada informacje ogólne o osobniku, konieczne dla pracodawcy w związku z pojawieniem się stosunki pracy. Podobnie, ochronę danych osobowych pracownika regulują artykuły obowiązującego Kodeksu cywilnego Federacji Rosyjskiej i można ją rozpatrywać w kilku aspektach:

1. Gwarancje to zbiór norm i zasad regulujących relacje dotyczące danych osobowych pracownika.
2. Zespół środków organizacyjno-prawnych mających na celu wdrożenie aktów prawnych w celu wyrażenia polityki pracodawcy.
3. Bezpieczeństwo prawo podmiotowe pracownika do ochrony danych osobowych.

Każdy pracownik ma prawo do ochrony swoich danych osobowych (klauzula 9 art. 86 Kodeksu pracy Federacji Rosyjskiej).

Zgodnie z art. 89 Kodeksu pracy Federacji Rosyjskiej każdy pracownik może skorzystać z prawa do ochrony i ochrony danych osobowych poprzez następujące działania:

• bezpłatny, bezpłatny dostęp do swoich danych osobowych, w tym uzyskanie kopii ewentualnej ewidencji zawierającej dane osobowe pracownika;
• wyznaczenie osobistego przedstawiciela do ochrony Twoich danych osobowych;
• otrzymujący pełne informacje o danych osobowych i ich przetwarzaniu;
• wystawienia żądania usunięcia lub sprostowania danych osobowych zawierających nieprawidłowe informacje lub jeżeli były przetwarzane z naruszeniem wymogów prawa;
• zaskarżenia do sądu niezgodnych z prawem działań pracodawcy, a także jego bierności w przetwarzaniu i ochronie danych osobowych.

Skład danych osobowych pracownika

Na podstawie klauzuli 2 art. 86 Kodeksu pracy Federacji Rosyjskiej ilość i treść danych osobowych pracownika ustala pracodawca zgodnie z Konstytucją Federacji Rosyjskiej, Kodeksem pracy i innymi przepisami federalnymi. Z reguły działalność każdej organizacji wymaga od pracodawcy stosowania dwóch głównych typów dokumentów w obiegu dokumentów:

1. Dokumenty dostarczane przez pracownika przy zawieraniu umowy o pracę (art. 65 Kodeksu pracy Federacji Rosyjskiej). Do tej kategorii zalicza się dokumenty zawierające fotografię pracownika, imię i nazwisko, informację o miejscu i dacie urodzenia, obywatelstwie, stanie cywilnym, miejscu rejestracji, wykształceniu, specjalności (paszport, certyfikat ubezpieczenia państwo ubezpieczenie emerytalne, dowód wojskowy itp.).
2. Dokumenty generowane samodzielnie przez pracodawcę (podstawowe dokumentacja księgowa w sprawie rozliczania i płatności pracy). Ta kategoria obejmuje polecenia lub dyspozycje dotyczące zatrudnienia pracownika, rozwiązania umowy o pracę, nagradzania pracownika, karty imiennej oraz dokumenty dotyczące wynagrodzenia.

Ochrona danych osobowych, odpowiedzialność za naruszenie prawa

Jak również dane osobowe każdego z nich Obywatel Rosji chroniony przez prąd ramy prawne Federacji Rosyjskiej, która przewiduje kilka rodzajów odpowiedzialności za naruszenie wymogów przepisów prawa w zakresie ochrony danych osobowych, w szczególności istnieje odpowiedzialność cywilna, dyscyplinarna, materialna, administracyjna i karna.

Należy pamiętać, że niektóre sankcje za naruszenie poszczególne pociągi przestępstwa dotyczą zarówno osób fizycznych i urzędników, jak i osób prawnych.

Zgodnie z art. 150 Kodeks cywilny Federacja Rosyjska nienaruszalność życia prywatnego, osobistego i rodzinny sekret jest jednym z niezbywalnych prawa niematerialne chronione obowiązującymi przepisami.

Odpowiedzialność cywilna ma bezpośredni związek z kategorią szkody moralne, to znaczy, jeśli obywatel poniósł szkodę moralną, wyrażoną w działaniach naruszających jego dobro osobiste prawa moralne ma on prawo żądać od sprawcy zapłaty odszkodowania pieniężnego postępowanie sądowe. Wysokość odszkodowania za szkodę moralną ustala sąd, biorąc pod uwagę wszystkie istotne okoliczności. Zadośćuczynienie wypłacane jest w gotówce.

Zgodnie z paragrafem 7 art. 243 Kodeks pracy Federacji Rosyjskiej odpowiedzialność finansowa pracownikowi za ujawnienie informacji mających bezpośredni związek z danymi osobowymi innych osób, za które odpowiada sprawca pełny rozmiar wyrządzone szkody.

Odpowiedzialność może ponieść pracownik, który rozpowszechnił dane osobowe innego pracownika odpowiedzialność dyscyplinarna w formie zwolnienia. Na podstawie art. 1 92 Kodeksu pracy Federacji Rosyjskiej pracodawca ma prawo pociągnąć pracownika, który naruszył prawo, do odpowiedzialności. Jednocześnie, w zależności od stopnia i wagi popełnionego przestępstwa, zwolnienie może zostać zastąpione innym kara dyscyplinarna na przykład w formie nagany lub uwagi.

Zwróćmy uwagę, że prawa i obowiązki pracownika, które są bezpośrednio związane z danymi osobowymi innych pracowników, określają warunki umowy o pracę oraz skład lokalnych przepisów ustalających funkcje pracownicze pracownika i wykaz jego obowiązków służbowych.

Odpowiedzialność administracyjna Naruszenie procedury gromadzenia, przechowywania i rozpowszechniania danych osobowych skutkuje ostrzeżeniem lub karą pieniężną w wysokości: od 1000 do 3000 rubli – dla osób fizycznych; od 5 000 do 10 000 rubli - dla urzędników, od 20 tysięcy do 50 tysięcy rubli - dla osób prawnych (art. 13.11 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej). Odpowiedzialność administracyjna za rozpowszechnianie informacji prawnie chronionych w związku z wykonywaniem obowiązków służbowych i zawodowych pociąga za sobą karę grzywny w wysokości: od 500 do 1000 rubli - dla osób fizycznych, od 4 do 5 tysięcy rubli - dla urzędników (art. 13.14 kodeksu Wykroczeń Administracyjnych Federacji Rosyjskiej).

Odpowiedzialność karna za naruszenie prywatności, w szczególności danych osobowych, reguluje art. 137 Kodeksu karnego Federacji Rosyjskiej i przewiduje karę w postaci:

• kara w wysokości 200 tysięcy rubli, wynagrodzenie lub inny dochód sprawcy przez 18 miesięcy przymusowej pracy przez okres od 120 do 180 godzin;
• prace wykonawcze do 12 miesięcy;
• areszt do 4 miesięcy.

Naruszenie prywatności, w szczególności danych osobowych, przez osobę wykorzystującą swoje stanowisko służbowe zagrożone jest karą:

• grzywna w wysokości od 100 do 300 tysięcy rubli, wynagrodzenie lub inny dochód sprawcy na 1-2 lata;
• pozbawienie prawa do zajmowania pewne stanowiska na okres od 2 do 5 lat;
• aresztu na okres od 4 do 6 miesięcy.

Aleksander

Cześć! Przyjrzałem się mojej historii kredytowej, która jest zbierana na podstawie danych z biura historii kredytowej. Widzę, że dwa banki zwróciły się w moją stronę do BKI bez mojej zgody. Jeden z nich nie powinien mieć moich danych osobowych. Czy wnioski do BKI tych dwóch banków są legalne? Co robić?

Siergiej (starszy prawnik)

Witaj, Aleksandrze! Zgodnie z ustawą o historii kredytowej banki mogą pytać o historię kredytową obywateli jedynie za ich zgodą. Jest to wyraźnie określone w art. 6 tej ustawy. Dlatego bez uzyskania Twojej zgody takie żądania są nielegalne.

Dmitrij

Cześć. Pewne „ulepszenie” LLC wysyła karty płatnicze z podaniem mojego imienia i nazwiska, adresu, liczby zarejestrowanych i zarejestrowanych osób, przy czym nie podpisałem ani umowy o świadczenie usług, ani umowy na przetwarzanie danych osobowych. łamią prawo?

Siergiej (starszy prawnik)

Witaj, Dmitrij! Rozpowszechnianie danych osobowych osób w taki sposób, że stają się one dostępne dla nieograniczonej liczby osób, stanowi naruszenie prawa. W zależności od okoliczności sprawy może to zostać zakwalifikowane jako wykroczenie administracyjne lub przestępstwo karne.

Anna

Dzień dobry Proszę mi powiedzieć, przedstawicielu firma zarządzająca stworzony grupa ogólna w WhatsApp, gdzie dodano wszystkich mieszkańców naszego domu. W związku z tym w tej grupie znajdują się informacje o numerach telefonów wszystkich mieszkańców. Czy spółka zarządzająca ma prawo tworzyć takie grupy i udostępniać dane dotyczące numerów telefonów mieszkańców, a także ich imion i nazwisk bez ich zgody? Na mocy umowy z firmą zarządzającą ma ona prawo przekazywać informacje o danych osobowych podmiotom trzecim wyłącznie w celu wykonania swoich obowiązków wynikających z umowy

Siergiej (starszy prawnik)

Witaj Anno! Każdy obywatel ma prawo do tworzenia grup na portalach społecznościowych i komunikatorach zgodnie z warunkami korzystania z takich komunikatorów oraz sieci społecznościowe. Najprawdopodobniej do tej grupy zaproszono mieszkańców budynku, jednak zawsze mogą odmówić udziału w takiej grupie. Ponadto nie udowodniono, że utworzenie grupy nie ma na celu osiągnięcia celów w postaci wypełnienia obowiązków spółki zarządzającej wobec rezydentów. Dlatego też w tej sytuacji istnienie naruszenia przepisów dotyczących danych osobowych budzi duże kontrowersje.

Dmitrij

Witam, brałem już udział w odpowiedzialność karna, czy pracodawca może żądać danych od policji?

Siergiej (starszy prawnik)

Witaj, Dmitrij! Oczywiście może złożyć wniosek, ale może zostać odrzucony, ponieważ nie ma prawa otrzymać tych poufnych informacji. Jednak pracodawca zawsze ma możliwość uzyskania informacji o Tobie nieoficjalnymi kanałami. Dlatego jeśli chce, zawsze może dostać niezbędne informacje o kandydacie do pracy.

Jewgienij

Witam, pracuję jako kierowca transport publiczny kierownictwo zobowiązuje pasażerów do ogłoszenia przez głośnik swojego imienia i nazwiska przy wejściu do kabiny, czy jest to naruszenie ustawy o ochronie danych osobowych? Czy mogę odmówić zrobienia tego?

Siergiej (starszy prawnik)

Witaj, Evgeniy! Jeżeli wyrazisz na to zgodę, nie nastąpi żadne naruszenie, ponieważ dobrowolnie podałeś odpowiednie informacje. Możesz jednak odmówić, jeśli nie ma takiego obowiązku w umowie o pracę lub innych wiążących Cię dokumentach (na przykład opis stanowiska). O ile nam wiadomo, kierowcy na szczeblu federalnym nie mają takiego obowiązku.

Igor

Dzień dobry, mamy zamkniętą grupę WhatsApp osób związanych z określonym zawodem. Aby zidentyfikować i zrozumieć, z kim się komunikujemy, poprosiliśmy wszystkich uczestników o podanie imienia i nazwiska oraz o przesłanie zdjęcia. Czy to jest legalne? Wyjaśnienie Grupa została utworzona, aby komunikować się i pomagać sobie nawzajem w pracy. Jest też w grupie pewne zasady np. o zakazie przekazywania korespondencji i danych użytkowników podmiotom trzecim.

Siergiej (starszy prawnik)

Witaj, Igorze! Jeśli obywatele samodzielnie opublikują swoje dane (które mogą być niewiarygodne), wówczas nie dojdzie do naruszenia danych osobowych.

Aleksiej

Cześć! Niedawno w aplikacji Tinkoff Bank na iPhone'a znalazłem możliwość zaproszenia znajomych do wydania karty. Funkcjonalność aplikacji polegała po prostu na naciśnięciu przycisku „zaproś” obok kontaktów z książki telefonicznej, po czym numery telefonów, jak rozumiem, zostały przesłane do banku, a operatorzy banku dzwonili na te numery i oferowali wydanie kart. Przed wysłaniem zaproszeń nigdy nie poproszono mnie o zaznaczenie jakichkolwiek pól dotyczących przesyłania moich danych osobowych. danych, jednak operatorzy banku powiedzieli osobom, do których dzwonili, nie tylko, że Aleksiej podał bankowi ich numer telefonu, ale także zadzwonił do mnie po nazwisku. Pragnę od razu zaznaczyć, że moje nazwisko jest w moim regionie bardzo rzadkie ( Obwód Niżny Nowogród) Jestem jedynym nosicielem tego nazwiska, a w Rosji zbyt mało osób nosi takie nazwisko. Następnego dnia zacząłem dostawać skargi od znajomych, że (oczywiście zdali sobie sprawę, że to ja) dałem ich numery bankowi. Skontaktowałem się z bankiem z roszczeniem o naruszenie ustawy 152-FZ, ale prawnicy banku powiedzieli mi, że nazwisko nie jest danymi osobowymi, które pozwalają na identyfikację osoby jako osoby fizycznej, że oni (bank) niczego nie naruszają i moi znajomi po skontaktowaniu się z operatorami bank zidentyfikował mnie jedynie na podstawie „osobistych przypuszczeń” – oto ich cytat: „To są osobiste przypuszczenia Twoich znajomych, skąd dowiedzieli się, że to Ty podałeś numer, nie wiadomo. ”, oto ich pierwsza odpowiedź: „Zgodnie z ustawą federalną nr 152 dane osobowe oznaczają wszelkie informacje dotyczące konkretnej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych osobowych) Nazwisko i imię nie wystarczą, aby zakwalifikować dane jako dane . do konkretnej osoby. Nie ma zatem mowy o naruszeniu prawa, o czym już wcześniej informowali pracownicy.” Proszę o informację czy tak jest w tym przypadku naruszenie ustawy 152-FZ i czy ma sens zwrócenie się do sądu i zaangażowanie w sprawę osób, które po rozmowie z operatorami banków ustaliły moją tożsamość jako świadków w tej sprawie.

Siergiej (starszy prawnik)

Witaj, Aleksiej! Możliwe, że już wyraziłeś zgodę na przetwarzanie swoich danych osobowych instalując aplikację Tinkoff Bank. Prosimy o dokładne zapoznanie się z warunkami umowy licencyjnej. tę aplikację. Myślę, że będziesz niemile zaskoczony. Dlatego z dużym prawdopodobieństwem możemy stwierdzić, że w Twojej sytuacji nie dochodzi do formalnego naruszenia prawa o danych osobowych.

Aleksander

Zadzwonił do mnie pewien pracownik firmy konsultingowej, przedstawił się i powiedział, że kiedyś pracował w pewnym banku i kiedy się skontaktowałem infolinia ten bank pomógł mi w niektórych transakcjach. Był wówczas pracownikiem banku i w związku z tym miał dostęp do moich danych osobowych. Powiedz mi, że jego telefon jako przedstawiciela firmy, w której moje dane (imię i nazwisko, numer telefonu) pojawiły się nielegalnie, nie potwierdza faktu nieuprawnionego przekazania moich danych osobowych, tj. naruszenie ustawy o danych osobowych.

Siergiej (starszy prawnik)

Witaj, Aleksandrze! W tym przypadku raczej mówimy nielegalne działanie konkretnego pracownika, który mógłby korzystać ze swojego dostępu do bazy danych osobowych klientów banku. W każdym razie nie miał prawa kopiować bazy danych klientów banku i wykorzystywać jej do pracy w organizacji komercyjnej.

Anna

Cześć. Proszę mi powiedzieć, czy zgoda na przetwarzanie danych osobowych jest podpisana jednorazowo przy korzystaniu z jakiejkolwiek usługi w szpitalu, czy przy każdym zapytaniu?

Siergiej (starszy prawnik)

Witaj Anno! Do ścisłego przestrzegania prawa wymagane jest, aby każdorazowo pacjent podając dane osobowe wyrażał zgodę na ich przetwarzanie. Ale jednocześnie ustawa o danych osobowych pozwala stwierdzić, że jeśli dana osoba wielokrotnie kontaktowała się już z określonym operatorem przetwarzania danych osobowych i podała już odpowiednie dane osobowe, to w przypadku braku nowych danych osobowych zgoda nie jest wymagany. Natomiast w przypadku reasekuracji szpitale mogą wymagać każdorazowo podpisania zgody na przetwarzanie danych osobowych.

Michał

Wysyłam alimenty pocztą, jest tytuł egzekucyjny, bez wskazania miejsca pracy, jest miesięczny dług, bez opóźnień, czy jest podstawa do otwarcia mojej osobistej bazy danych, byłej żony, jeśli nie jestem złośliwym nie -płatnik?

Siergiej (starszy prawnik)

Witaj, Michaił! Strona postępowania egzekucyjnego ma prawo zapoznać się z materiałami tego postępowania, w tym zawartymi w nich danymi osobowymi dłużnika. Ale jednocześnie powód postępowanie egzekucyjne nie ma prawa udostępniać takich informacji osobom trzecim.

Elena

Cześć! W Internecie w różnych grupach w otwarty dostęp obywatel, z którym mam postępowanie prawne, przesyła materiały fotograficzne ze sprawy, zawierające moje dane osobowe, imię i nazwisko, adres, rok urodzenia. Czy można w jakiś sposób pociągnąć tego obywatela do odpowiedzialności np. za ujawnienie moich danych osobowych? Dziękuję

Siergiej (starszy prawnik)

Witaj, Eleno! Działania obywatela wskazują na naruszenie Twoich danych osobowych. Możesz skontaktować się z prokuraturą lub policją w celu rozwiązania kwestii wszczęcia sprawy karnej lub pociągnięcia obywatela do odpowiedzialności administracyjnej.

Iwan Iwanowicz

Czy przekazanie danych z kamer wideo przez administrację rynku osobie prywatnej stanowi naruszenie ustawy o danych osobowych mnie dotyczących?

Siergiej (starszy prawnik)

Witaj, Iwanie Iwanowiczu! Zależy w jakim celu nagranie zostało przesłane. Jeśli chodzi o rozwiązanie przestępstwa lub przestępstwa, takie działania nie są nielegalne. Ponadto sam obraz wideo terytorium, na którym się znajdują pewne osoby, nie zawiera żadnych danych osobowych i nie pozwala na identyfikację osoby po nazwisku, imieniu, adresie itp.

Aleksander

Cześć! Pewna organizacja, która uważa, że ​​jestem jej winien pieniądze, choć nie zawarliśmy żadnej umowy, wysłała mi list otwarty z roszczeniem na kartce papieru, której nie posiadałem. skrzynka pocztowa, w przypadku długu uzasadnionego, ze wskazaniem imienia i nazwiska, adresu oraz kwoty długu wraz z karami. Czy stanowi to naruszenie moich praw do ochrony danych osobowych?

Siergiej (starszy prawnik)

Witaj, Aleksandrze! Nie doszło do naruszenia przepisów dotyczących danych osobowych, ponieważ niniejsze pismo było skierowane specjalnie do Ciebie i nie ma dowodów na celowe rozpowszechnianie danych osobowych. Ponadto nie wiadomo, z jakiego powodu list znalazł się w czyjejś skrzynce pocztowej. Może to błąd handlarza.

Aleksander

Witaj, Siergiej! Czy jednak urzędnik, opieczętowując pismo danymi osobowymi, nie stwarza celowo warunków do ich ujawnienia?

Siergiej (starszy prawnik)

NIE. List był zaadresowany do Ciebie i nie został opublikowany do wglądu publicznego. Oczywiście możesz spróbować udowodnić coś przeciwnego, ale zajmie to dużo czasu i pieniędzy.

Oleg Bogorodski

Na jednej z giełd handlujących giełdami wymagają od Ciebie poddania się weryfikacji konta poprzez dostarczenie kserokopii paszportu na pierwszej stronie oraz przy rejestracji, a także dokumentu potwierdzającego rejestrację. Czy to jest legalne?

Siergiej (starszy prawnik)

Witaj, Olegu! Identyfikacja użytkownika nie jest niczym nielegalnym. Ponadto przepisy dotyczące przeciwdziałania praniu pieniędzy dochody z przestępstwa zobowiązuje poszczególne organizacje do podejmowania działań mających na celu weryfikację swoich klientów.

Ewgienia

Dzień dobry Pracuję jako księgowy w SNT. Podczas kontrola prokuratorska– zażądał prezes ode mnie i kasjera notatki wyjaśniające, w którym podaliśmy nasze nazwiska i stanowiska. W rezultacie urzędnik zamieścił nasze notatki wyjaśniające na ogólnym czacie SNT bez naszej zgody i powiadomienia. Czy w tej sprawie doszło do naruszenia danych osobowych oraz honoru i godności urzędnika?

Siergiej (starszy prawnik)

Witaj, Evgeniya! Formalnie mamy do czynienia z naruszeniem przepisów o danych osobowych, jednak fakt ten nie może mówić o naruszeniu honoru i godności. Musi być ku temu więcej przekonujących powodów.

Andriej

Dzień dobry Eleno. Kolega ubiegał się o nowe stanowisko. Po zapoznaniu się z jego CV firma zaproponowała mu rozmowę kwalifikacyjną. Podczas tej interakcji z pracownikami obsługa personelu firmie, jak się później okazało, nagrywali wszystkie rozmowy telefoniczne bez wiedzy kolegi. Efektem współpracy z oficerami personalnymi były wstępne ustalenia dotyczące warunków pracy na nowym stanowisku. Kiedy nadszedł czas, aby odejść ze swojej starej pracy, obecne kierownictwo zaproponowało koledze awans lub wyższy poziom. korzystne warunki i zdecydował się pozostać w swojej dawnej pracy. Pracownik poinformował firmę o swojej decyzji, a po pewnym czasie w jego dawnym miejscu pracy otrzymał pismo od firmy z załącznikiem. rozmowy telefoniczne kolegów oraz list wyjaśniający okoliczności tych negocjacji. Pytanie: Czy możliwe jest pociągnięcie urzędników spółki do odpowiedzialności za popełnione przez nich czyny? Jeśli to możliwe, jaką odpowiedzialność przewiduje prawo? Pozdrawiam, Andrey

Siergiej (starszy prawnik)

Cześć, Andriej! Działania tej organizacji i jej urzędników noszą znamiona przestępstwa z części 2 art. 138 Kodeksu karnego Federacji Rosyjskiej, czyli naruszenie tajemnicy rozmowy telefoniczne. Musisz napisać oświadczenie do komisja śledcza RF o wszczęciu sprawy karnej.

Julia

Powiedz mi proszę. Mój były mąż w toku zatrucie alkoholem staranował mój samochód swoim SUV-em. W tym czasie mój syn nagrywał wszystko swoim telefonem. Wezwano policję. Policja poprosiła mnie o zapisanie tego na pendrive'ie nakręcony film. Następnego dnia w Kontaktach pojawiła się fałszywa strona i opublikowano ten film. Mamy małe miasteczko, zhańbiliśmy siebie, naszą 12-letnią córkę załamanie nerwowe. Nikt inny poza policjantami nie pokazał tego filmu ani nikomu go nie udostępnił. Jest to ewidentnie dzieło gliniarzy. Powiedzcie mi czy ich działania są zgodne z prawem, jeśli nie to gdzie się udać?

Siergiej (starszy prawnik)

Witaj, Julio! Działania są wyraźnie nielegalne. Należy skontaktować się z komendantem miejscowego wydziału policji w celu zorganizowania wewnętrznego śledztwa w sprawie rozpowszechniania materiałów stanowiących tajemnicę. wstępne dochodzenie. Ze skargą na działania funkcjonariuszy Policji możesz także zwrócić się do prokuratury.

Aleksander

Policja przeglądając materiały dotyczące sprawdzenia mojego wniosku odmawia mi wyjaśnienia osoby, o której pisałem wniosek do rozpatrzenia, powołując się na ustawę o danych osobowych. Czy policjanci postępują w tej sytuacji zgodnie z prawem? Jeśli nie, czy istnieje za to jakakolwiek odpowiedzialność? Dziękuję.

Siergiej (starszy prawnik)

Witaj, Aleksandrze! Działania funkcjonariuszy policji są nielegalne, ponieważ zgodnie z Kodeksem postępowania karnego Federacji Rosyjskiej masz prawo zapoznać się ze wszystkimi materiałami kontroli, które Cię osobiście dotyczą. Takie działania funkcjonariuszy Policji co najmniej naruszają Kodeks postępowania karnego Federacji Rosyjskiej, co może stanowić podstawę do pociągnięcia ich do odpowiedzialności dyscyplinarnej.

Natalia

Cześć! W pracy wydarzyła się nieprzyjemna sytuacja!!! Mój bezpośredni przełożony polecił mi wypisać formularz T-2 z moich osobistych kart konkretnych pracowników informacja o imieniu i nazwisku, dacie urodzenia, miejscu zamieszkania i numerze telefonu - do zgłoszenia. Wyładowanie odbyło się w obecności pracownik personalny. Dyrektor prowadzi obecnie audyt wewnętrzny i stara się narzucić postępowanie dyscyplinarne do pracy nad „sprawami osobistymi”. Wyjaśnienia mojego szefa i moje nie są brane pod uwagę - potrzebna jest „krew”. Każdy pracownik przy zatrudnieniu podpisze Zgodę na przetwarzanie danych osobowych. Czy grożą mi konsekwencje dyscyplinarne, jeśli informacje zostały wycofane na podstawie ustnego polecenia mojego bezpośredniego przełożonego w celu sporządzenia raportu? Ujawnianie informacji osobom trzecim leży w moim OSOBIstym interesie! nie było. Chciałbym otrzymać odpowiedź z linkiem do regulamin, aby zapewnić prowizję audyt wewnętrzny. Dziękuję!

Siergiej (starszy prawnik)

Witaj, Natalio! Formalnie Ty i Twój bezpośredni przełożony naruszyliście prawo, ponieważ dostęp do danych osobowych mogą mieć tylko specjalni pracownicy osoba upoważniona. Jest to przewidziane w art. 88 Kodeksu pracy Federacji Rosyjskiej. Dlatego, aby zbudować swoją pozycję obronną, musisz przestudiować wszystko dokumenty lokalne w sprawie danych osobowych oraz opisu stanowiska i umowy o pracę.

Oksana

Cześć. W pracy zostawiłem CV na stole. Pracownik bez mojej wiedzy wziął jeden egzemplarz i dał go kierownikowi. Miesiąc później kierownik powiedział mi, że „przypadkowo” znalazła CV w Internecie, choć jest to kompletne kłamstwo, mam tylko to CV jako takie. plik. Czy mogę pociągnąć pracownika do odpowiedzialności?

Siergiej (starszy prawnik)

Witaj Oksano! Nie ma podstaw do pociągnięcia pracownika do odpowiedzialności, gdyż celowo nie zebrała ona informacji na temat Twojego życia prywatnego i nie przekazała szerokiemu gronu osób uzyskanych informacji na Twój temat. Ponadto możliwość rozpowszechnienia Twoich danych osobowych powstała na skutek Twojego zaniedbania. A w sądzie nie będziesz w stanie udowodnić, że to ten pracownik przyjął i przekazał Twoje CV kierownictwu, chyba że sam się do tego przyzna.

Svetoana

Moja mama wystąpiła do starostwa powiatowego funduszu emerytalnego o przyznanie dodatku do emerytury. Tam powiedziano jej, że potrzebne są oryginały aktów urodzenia dzieci. Jednocześnie mówi się, że „jeśli to nie zadziała, to dokumenty zostaną wyrzucone”. Gdzie można pociągnąć pracownika do odpowiedzialności w przypadku utraty dokumentów? Może przy składaniu dokumentów trzeba? spisać listę dostarczonych dokumentów, bo inaczej nie będziesz w stanie udowodnić, że tam były. Jaka jest odpowiedzialność za utratę dokumentów?

Siergiej (starszy prawnik)

Witaj, Swietłano! Co najmniej fakt utraty dokumentów będzie stanowił wykroczenie dyscyplinarne, za które osoba winna musi ponosić odpowiedzialność przed swoimi przełożonymi, aż do zwolnienia włącznie. W najbardziej niekorzystnych przypadkach możesz spróbować pociągnąć urzędnika do odpowiedzialności karnej za zaniedbanie, ale jest to mało prawdopodobne, ponieważ konieczne będzie udowodnienie istnienia faktu spowodowania znaczne szkody prawa i interesy obywateli chronione przez prawo.

Irina

Cześć! Pracuję w prywatnej firmie. Na jednym z punktów kontrolnych zainstalowano kamerę CCTV; na tym samym punkcie kontrolnym doszło do naruszenia kontrola dostępu. Pojawiłem się na nagraniu. Pracodawca zebrał wszystkich ochroniarzy i pokazał ten film! Czy jego działania są legalne? Podpisałem dokument dotyczący danych osobowych, ale 2 lata temu! Nikt nie pytał mnie o zgodę na obejrzenie tego filmu... Co mogę pokazać mojemu pracodawcy?

Siergiej (starszy prawnik)

Witaj, Irino! Nie ma żadnego naruszenia w działaniach pracodawcy, ponieważ ten film nie ujawnia żadnych Twoich danych osobowych. Ponadto wideo najprawdopodobniej nie uchwyci konkretnie Ciebie, ale punkt kontrolny, który jest w centrum uwagi. Dlatego szanse na pozwanie pracodawcy o coś są prawie zerowe.

talia

pracownik wpadł do mojego biura, nazwał mnie starą wiedźmą, wężem i życzył mi, abym przeszła na emeryturę i napiła się herbaty z mężem. Kierownik nie podaje mi adresu domowego tego pracownika, żebym mógł go wskazać oświadczenie o żądaniu o obrazę osobowości, powołując się na ochronę danych osobowych. Co powinienem zrobić?

Siergiej (starszy prawnik)

Cześć! Działania szefa są zgodne z prawem, ponieważ jego dane osobowe nie mogą zostać ujawnione bez zgody tej osoby. Aby uzyskać adres domowy można najpierw napisać oświadczenie na policję, która po wyjaśnieniach tej kobiety pozna jej adres domowy. Następnie możesz zapoznać się z materiałami weryfikacyjnymi.

Dmitrij

Cześć. Pracuję w systemie edukacji. Niedawno władze regionalne wydały powyższe instrukcje dotyczące gromadzenia informacji o rodzicach niektórych uczniów, imion i nazwisk oraz danych paszportowych w celu zrekompensowania kosztów wyżywienia w placówce. To dobrze, ale na ile legalne jest gromadzenie takich danych?

Siergiej (starszy prawnik)

Witaj, Dmitrij! Gromadzenie takich danych nie będzie wskazywało na jakiekolwiek nieprawidłowości, jeśli rodzice dobrowolnie zgodzą się na podanie takich informacji. Jeśli wyjaśnisz im, do jakich celów potrzebne są te informacje, myślę, że wszyscy rodzice zrozumieją cię poprawnie.

Olga

Cześć! Jestem głównym księgowym w przedsiębiorstwie. Pracownica zaciągnęła pożyczkę i oprócz własnego podała numer telefonu swojego zastępcy. Pożyczka nie została spłacona. Podczas kolejnego telefonu w sprawie długu, pracownica zmiany wskazała moją osobę telefon komórkowy. Bez szkody. Teraz ściągają ode mnie kredyt. Ciągłe telefony i SMS-y. Nie reagują na moje wyjaśnienia. Nie mam absolutnie nic wspólnego z kredytami. Jak to zatrzymać? Co powiedzieć lub napisać do banku? Możliwe jest także pociągnięcie konkretnej osoby do odpowiedzialności za ujawnienie mojego numeru telefonu. Dziękuję!

Siergiej (starszy prawnik)

Witaj Olgo! Podczas kolejnej rozmowy telefonicznej możesz powiedzieć, że zwrócisz się do uprawnionych organów z oświadczeniem o pociągnięciu banku do odpowiedzialności administracyjnej za naruszenie przepisów o ochronie danych osobowych. Możesz także napisać do banku wniosek o zaprzestanie przetwarzania Twoich danych osobowych. Od pracownika, który zostawił Twój numer telefonu, możesz żądać w sądzie naprawienia szkody moralnej.

Adnotacja: Wykład umożliwia zapoznanie się z podstawowymi pojęciami i podstawowe prawa Federacja Rosyjska w zakresie ochrony danych osobowych.

regulatory są organami rządowymi uprawnionymi do podejmowania działań kontrolnych i nadzorczych w związku z przestrzeganiem wymogów prawa federalnego. Ustawa federalna „O danych osobowych” ustanawia trzy organy regulacyjne:

• Roskomnadzor (ochrona praw osób, których dane dotyczą)
• FSB (wymagania w zakresie kryptografii)
• FSTEC Rosji (wymagania dotyczące ochrony informacji przed nieuprawnionym dostępem i wyciekiem kanałami technicznymi).

Ponieważ ustawa federalna „O danych osobowych” jest jedynie podstawą prawnego wsparcia w zakresie ochrony danych osobowych, jej wymagania zostały następnie określone w ustawach Rządu Federacji Rosyjskiej i Ministerstwa Komunikacji oraz dokumentach regulacyjnych i metodologicznych organów regulacyjnych .

2.2. Kategorie danych osobowych

Ustawa federalna „O danych osobowych” określa następujące kategorie danych osobowych.

Publiczna policja - dane, do których dostęp ma nieograniczona liczba osób za zgodą podmiotu PD lub w stosunku do których zgodnie z prawem federalnym nie obowiązują wymogi dotyczące poufności. Publiczne źródła danych osobowych tworzone są w celach informacyjnych (np. książki telefoniczne i adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimikę, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe przekazane przez podmiot danych osobowych.

Należy pamiętać, że informacja o przedmiocie danych osobowych może zostać w każdej chwili wykluczona ze źródeł publicznie dostępnych na wniosek podmiotu lub na mocy decyzji sądu lub uprawnionych organów rządowych.

Specjalne kategorie PD - dane osobowe dotyczące rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, zdrowia, życia intymnego. Ich przetwarzanie jest dozwolone wyłącznie w następujących przypadkach:

• podmiot danych osobowych wyraził zgodę na piśmie do przetwarzania Twoich danych osobowych;
• dane osobowe są publicznie dostępne;
• dane osobowe dotyczą stanu zdrowia podmiotu danych osobowych i uzyskanie jego zgody jest niemożliwe lub przetwarzanie danych osobowych odbywa się przez osobę zawodowo zajmującą się działalnością medyczną i zobowiązaną zgodnie z ustawodawstwem Federacji Rosyjskiej do zachować tajemnicę lekarską;
• przetwarzanie danych osobowych członków (uczestników) stowarzyszenie publiczne lub organizację religijną, pod warunkiem że dane osobowe nie będą rozpowszechniane bez pisemnej zgody osób, których dane dotyczą;
• przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej lub jest niezbędne w związku z wymiarem sprawiedliwości.

Wspólne zamówienie FSTEC, FSB i Ministerstwo Technologii Informacyjnych i Komunikacji Federacji Rosyjskiej z dnia 13 lutego 2008 r. N 55/86/20 „W sprawie zatwierdzenia Procedury klasyfikacji systemów informatycznych danych osobowych” określa, co następuje kategorie danych osobowych, które są przetwarzane w ISPD:

Definicja danych biometrycznych w ustawodawstwie rosyjskim zapewnia podmiotowi przetwarzającemu dane osobowe możliwość podjęcia niezależnej decyzji o zakwalifikowaniu niektórych danych jako biometrycznych. Wywołało to wiele kontrowersji. Spójrzmy na przykład ze zdjęciem. Z jednej strony charakteryzuje fizjologiczne cechy człowieka. Jednak z biegiem czasu dana osoba może się bardzo zmienić, a atakujący może sfałszować zewnętrzne oznaki legalnego podmiotu. Czy w tym przypadku identyfikacja jest aż tak oczywista? Organy regulacyjne potwierdzają obecnie, że zdjęcia i obrazy wideo są klasyfikowane jako dane biometryczne.

2.3. Prawa podmiotu danych osobowych

Osoba, której dane dotyczą, to osoba fizyczna, którą można jednoznacznie zidentyfikować na podstawie danych osobowych, czyli de facto osoba, której dane wymagają ochrony. Rozważmy podstawowe prawa podmiotu danych osobowych ustanowione w ustawie federalnej nr 152.

1. Prawo osoby, której dane dotyczą, do dostępu do swoich danych osobowych. Zakłada to prawo podmiotu do otrzymania informacji o operatorze danych osobowych i jakie PD związane z tym podmiotem przetwarza, a także bezpośredni dostęp do tego PD. Podmiot ma prawo żądać od operatora wyjaśnienia PD, jego zablokowania lub zniszczenia, jeżeli jest nieaktualny, niekompletny lub nie jest niezbędny do wskazanego celu przetwarzania. Dostęp do Twoich danych osobowych uzyskuje podmiot (lub jego przedstawiciel) w trakcie kontaktu lub na podstawie wniosku. Otrzymane informacje mogą zawierać następujące informacje:
   • cel przetwarzania PD
   • Metody przetwarzania WNZ
   • Ramy czasowe przetwarzania PD
   • lista osób dopuszczonych do przetwarzania PD
   • lista przetworzonych PD i źródło ich otrzymania
   • informacje o możliwościach skutki prawne przetwarzanie danych osobowych dla podmiotu danych osobowych.

   Ustawa określa przypadki, w których to prawda Temat PD jest ograniczony, na przykład jeśli mówimy o bezpieczeństwie kraju, naruszeniu prawa konstytucyjne i wolności innych osób lub działań operacyjno-rozpoznawczych.

2. Prawa podmiotów PD przy przetwarzaniu ich danych osobowych w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej. W takim przypadku przetwarzanie odbywa się wyłącznie za uprzednią zgodą podmiotu. Co ważne, przetwarzanie uznaje się za dokonane bez zgody podmiotu, chyba że operator udowodni inaczej. Operator ma obowiązek natychmiastowego zaprzestania przetwarzania PD na żądanie podmiotu.
3. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji wyłącznie na podstawie automatyczne przetwarzanie ich dane osobowe. Prawo zabrania podejmowania decyzji dotyczących przedmiotu danych osobowych wyłącznie na podstawie zautomatyzowanego przetwarzania, chyba że uzyskana zostanie jego zgoda na piśmie lub w przypadkach przewidzianych przez prawo federalne.
4. Prawo do odwołania się od działań lub zaniechań operatora. Jeśli podmiot PD uważa, że ​​operator przetwarza jego PD niewłaściwie, czyli narusza jego prawa, może się od niego odwołać uprawniony organ w celu ochrony praw osób, których dane dotyczą, lub przed sądem.

Należy zaznaczyć, że podmiot danych osobowych ma prawo do odszkodowania za straty i szkody szkody materialne w sądzie.

2.4. Obowiązki operatora danych osobowych

Wcześniej przyglądaliśmy się koncepcji operatora danych osobowych i działania, które są przetwarzanie danych osobowych. Na podstawie definicji możemy stwierdzić, że wszystkie organizacje bez wyjątku są operatorami PD, ponieważ gromadzą, gromadzą i przetwarzają informacje o swoich pracownikach w ramach Kodeksu pracy Federacji Rosyjskiej. Ponadto wiele organizacji gromadzi informacje o swoich klientach, kontrahentach, dostawcach i partnerach w ramach swojej podstawowej działalności. Do głównych obowiązków operatora PD należy powiadamianie Roskomnadzor o przetwarzaniu PD i w rzeczywistości ochrona PD.

Prawo przewiduje przypadki, w których operator nie jest zobowiązany do powiadamiania Roskomnadzor o przetwarzaniu danych osobowych:

1. jeżeli jest związany z podmiotem stosunkami pracy;
2. jeżeli pomiędzy operatorem a podmiotem istnieje umowa, a dane są niezbędne do wywiązania się z wynikających z niej obowiązków;
3. jeżeli dane dotyczą członków stowarzyszenia religijne I organizacje publiczne i przetwarzane zgodnie z dokumenty założycielskie i z prawem.
4. jeżeli dane są publicznie dostępne;
5. jeśli zawierają tylko imię i nazwisko;
6. dane są niezbędne do jednorazowego przejazdu na teren operatora lub do podobnych celów;
7. jeżeli dane są zawarte w federalnych zautomatyzowanych systemach informacyjnych i stanowych systemach informacji o danych osobowych;
8. jeżeli dane są przetwarzane bez użycia narzędzi automatyzacji zgodnie z prawem Federacji Rosyjskiej.

Należy pamiętać, że operator ma obowiązek nie nadawać dane osobowe osobom trzecim.

Jednocześnie wiele organizacji popełnia błąd, że jeśli nie mają obowiązku powiadamiania uprawnionego organu o przetwarzaniu PD, to mogą nie dopełnić obowiązków nałożonych przez prawo na operatorów PD. Takie działania są nielegalne, są jednoznacznie interpretowane jako nieprzestrzeganie wymogów prawa i podlegają karze środków przewidzianych przez ustawę.

Rozważmy główne obowiązki operatora danych osobowych przewidziane w ustawie federalnej nr 152:

1. Zapewnienie bezpieczeństwa przetwarzania danych osobowych, co oznacza obowiązek „podjęcia niezbędnych działań organizacyjnych i środki techniczne Dla ochrona danych osobowych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.”
2. Zgłoszenie charakteru przetwarzania danych osobowych. Zgodnie z art. 2 ustawy federalnej nr 152 przed rozpoczęciem przetwarzania danych osobowych operator jest zobowiązany powiadomić upoważniony organ ds. ochrony praw podmiotów danych osobowych (Roskomnadzor) o swoim zamiarze przetwarzania danych osobowych. Roskomnadzor wprowadza informacje o operatorze do rejestru operatorów. Informacje zawarte w rejestrze, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.
3. Otrzymując dane osobowe (w tym od osób trzecich) operator PD, przed rozpoczęciem przetwarzania, zobowiązany jest uzyskać pisemną zgodę podmiotu tego PD na ich przetwarzanie (z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub jeżeli są one publicznie dostępne). Należy pamiętać, że podmiot ma prawo odwołać tę zgodę.
4. Operator ma obowiązek na żądanie podmiotu PD udzielić wszelkich dostępnych informacji o nim, celach i warunkach przetwarzania oraz sposobach ochrony jego danych osobowych.

   Operator ma także obowiązek zniszczyć lub zablokować odpowiednie dane osobowe, wprowadzić je niezbędne zmiany po dostarczeniu przez podmiot PD lub jego prawnego przedstawiciela informacji potwierdzającej, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora, są niekompletne, nieaktualne, nierzetelne, uzyskane nielegalnie lub nie są niezbędne do podany cel przetwarzania.

   Ponadto operator PD ma obowiązek przedstawić dowód uzyskania zgody PD na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych ma obowiązek wykazać, że przetwarzane PD jest publicznie dostępne.

5. Kontrola i nadzór nad działalnością operatorów danych osobowych przez agencje rządowe. Oznacza to obowiązek operatora zgłaszania uprawnionemu organowi ochrony praw osób, których dane dotyczą, na jego żądanie, informacji niezbędnych do realizacji działań tego organu. Państwo powierzyło funkcje kontrolne i nadzorcze Roskomnadzorowi, FSTEC i FSB.

Prawo przewiduje także przypadki, w których nie jest wymagana zgoda podmiotu danych osobowych na przetwarzanie informacji o nim:

1. przetwarzanie danych osobowych odbywa się na podstawie innych przepisów federalnych, na przykład niektóre przepisy federalne przewidują przypadki przepis obowiązkowy PD podmiotu swoich danych osobowych w celu ochrony podstaw podstawowych porządek konstytucyjny, moralność, zdrowie, prawa i uzasadnione interesy inne osoby zapewniające obronę kraju i bezpieczeństwo państwa;
2. operatora i podmiot PD łączy umowa o dokonaniu czynności wymagających przetwarzania danych osobowych tego podmiotu, np. umowa, na mocy której biuro podróży(operator) ma prawo wykorzystać dane osobowe podmiotu w celu rezerwacji hotelu;
3. przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych ważnych dla życia osób ważne interesy przedmiot danych osobowych, jeżeli uzyskanie jego zgody jest niemożliwe, np. hospitalizacja osoby w wyniku nieszczęśliwego wypadku;
4. przetwarzanie danych osobowych jest niezbędne do doręczania przesyłek pocztowych przez organizacje pocztowe, do dokonywania przez operatorów telekomunikacyjnych płatności na rzecz użytkowników usług komunikacyjnych za świadczone usługi komunikacyjne, a także do rozpatrywania roszczeń użytkowników usług komunikacyjnych;
5. przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub w celach naukowych, literackich lub innych działalność twórcza pod warunkiem, że nie zostaną naruszone prawa i wolności podmiotu danych osobowych;
6. przetwarzane są dane osobowe podlegające publikacji zgodnie z prawem federalnym, w tym dane osobowe osób zastępujących stanowiska rządowe, stanowiska rządowe służba cywilna, dane osobowe kandydatów na wybieralne stanowiska państwowe lub samorządowe.

We wszystkich pozostałych przypadkach operator musi przestrzegać wymogów rosyjskiego ustawodawstwa dotyczących przetwarzania danych osobowych. Prawo przewiduje odpowiedzialność cywilną, karną, administracyjną, dyscyplinarną i inną za naruszenie jego wymagań.

Tak stanowi Kodeks wykroczeń administracyjnych maksymalna kara 500 000 rubli za nieprzestrzeganie porządku prawnego Roskomnadzor (art. 19 ust. 5 kodeksu administracyjnego). Ten sam Kodeks przewiduje zawieszenie działalności organizacji na okres do 90 dni w przypadku prowadzenia działań mających na celu ochronę danych osobowych bez licencji (art. 19.20 Kodeksu administracyjnego).

Kodeks karny przewiduje karę w wysokości 300 000 rubli, praca obowiązkowa na okres do 1 roku, areszt na okres do 6 miesięcy i pozbawienie prawa sprawowania urzędu na okres do 5 lat w przypadku ochrona danych osobowych bez zezwolenia w przypadkach, w których czyn ten spowodował poważne szkody obywateli (art. 171 Kodeksu karnego).

W przypadku systematycznych i rażących naruszeń Roskomnadzor ma prawo wystąpić z wnioskiem o cofnięcie licencji na główny rodzaj działalności.