ثبت نام موضوعات پردازش داده های شخصی. یا ممکن است در مورد پردازش داده های شخصی اطلاع ندهید

نحوه سازماندهی پردازش داده های شخصی کارکنان. ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor. نحوه دریافت رضایت کارمند برای پردازش داده های شخصی وی.

سوال:آیا شرکت واحد شهرداری موظف است در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor ثبت نام کند و همچنین مجموعه ای از اسناد را در مورد حفاظت از داده های شخصی ایجاد کند؟

پاسخ:بله، یک شرکت واحد شهرداری موظف است در ثبت نام اپراتورهای داده های شخصی ثبت نام کند و همچنین مجموعه ای از اسناد را در مورد حفاظت از داده های شخصی در صورتی که شرکت واحد شهرداری کارمندانی را استخدام کند و شرکت واحد شهرداری داده های شخصی آنها را پردازش کند یا شرکت واحد شهرداری داده های شخصی افراد مختلف (مشتریان، شرکا) را پردازش می کند.

بنیاد و پایه

نحوه سازماندهی پردازش اطلاعات شخصی کارکنان

مفهوم داده های شخصی

سازمان حق دریافت چه اطلاعات شخصی یک کارمند را دارد؟

داده های شخصی عمومی

سوال از تمرین:چه اطلاعات شخصی عمومی در نظر گرفته می شود

اطلاعات عمومی عموماً اطلاعات شناخته شده و سایر اطلاعاتی هستند که دسترسی به آنها محدود نیست. چنین اطلاعاتی ممکن است توسط هر شخصی بنا به صلاحدید خود مورد استفاده قرار گیرد، مشروط به محدودیت های قانونی در توزیع آن. این در بندهای ماده 7 قانون 27 ژوئیه 2006 شماره 149-FZ آمده است.

داده‌های شخصی عمومی، داده‌هایی هستند که موضوع داده‌های شخصی آن‌ها را در دسترس قرار داده است. داده‌های شخصی عمومی ممکن است شامل اطلاعاتی باشد که برای تعداد نامحدودی از افراد در دسترس است (به عنوان مثال، داده‌های فهرست‌های باز، دفترچه‌های آدرس و غیره).

از آنجایی که هر کسی به آنها دسترسی دارد، دیگر نیازی به امنیت خاصی ندارند.

هنگام پردازش چنین داده‌هایی، اپراتور نیازی به اطلاع سازمان مجاز برای حمایت از حقوق اشخاص داده‌های شخصی ندارد (بند 4، بخش 2، ماده 22 قانون 27 ژوئیه 2006 شماره 152-FZ).

رضایت به پردازش داده های شخصی

نحوه دریافت رضایت کارمند برای پردازش داده های شخصی وی

کارفرما در طول فعالیت خود نیاز به پردازش اطلاعات شخصی کارکنان دارد. پردازش چنین داده هایی، به استثنای موارد خاص، تنها با رضایت کتبی کارمندان انجام می شود. در این مورد، رضایت نامه باید شامل اطلاعات زیر باشد:

• نام خانوادگی، نام، نام خانوادگی، آدرس کارمند، جزئیات گذرنامه (سند دیگری که هویت او را ثابت می کند)، از جمله اطلاعات مربوط به تاریخ صدور سند و مرجع صادر کننده.

• نام یا نام خانوادگی، نام، نام خانوادگی و آدرس کارفرما (اپراتور) که رضایت کارمند را دریافت می کند.
• هدف از پردازش داده های شخصی؛
• لیست داده های شخصی که برای پردازش آنها رضایت داده شده است.
• نام یا نام خانوادگی، نام، نام خانوادگی و آدرس شخصی که اطلاعات شخصی را از طرف کارفرما پردازش می کند، در صورتی که پردازش به چنین شخصی سپرده شود.
• فهرستی از اقدامات با داده های شخصی که برای آنها رضایت داده شده است، شرح کلی روش هایی که کارفرما برای پردازش داده های شخصی استفاده می کند.
• دوره ای که طی آن رضایت کارمند معتبر است و همچنین روش انصراف آن، مگر اینکه توسط قانون فدرال به گونه دیگری تعیین شده باشد.
• امضای کارمند.

چنین الزاماتی در بخش 4 تعیین شده است

اگر کارمندی ناتوان باشد، رضایت کتبی برای پردازش اطلاعات شخصی او توسط نماینده قانونی او: والدین، قیم (قسمت 6 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ) داده می شود.

یک کارمند می تواند در هر زمان رضایت خود را از پردازش داده های شخصی خود با ارسال بازخورد به کارفرما به هر شکلی پس بگیرد. در چنین شرایطی، سازمان حق دارد بدون رضایت کارمند به پردازش داده های شخصی با در نظر گرفتن محدودیت های مشخص شده در بندهای 2-11 قسمت 1 ماده 6، قسمت 2 ماده 10 و قسمت 2 ماده ادامه دهد. 11 قانون 27 ژوئیه 2006 شماره 152-FZ، به عنوان مثال، برای اجرای عدالت یا محافظت از جان (سلامت) خود کارمند. این در قسمت 2 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ آمده است.

لازم به ذکر است که در صورت بروز اختلاف، تکلیف ارائه شواهدی مبنی بر کسب رضایت کارمند برای پردازش اطلاعات شخصی وی بر عهده کارفرما است (بخش سوم ماده 9 قانون 6 تیر 1385 شماره 152). -FZ).

با رضایت کارمند، سازمان همچنین حق دارد پردازش داده های شخصی را به شخص دیگری واگذار کند (بخش 3 ماده 6 قانون 27 ژوئیه 2006 شماره 152-FZ). در این صورت کارفرما همچنان در قبال کارمند مسئول اقدامات شخص مشخص شده خواهد بود و شخصی که از طرف کارفرما اطلاعات شخصی را پردازش می کند مستقیماً در برابر کارفرما مسئول خواهد بود (قسمت 5 ماده 6 قانون قانون مجازات اسلامی). 27 جولای 2006 شماره 152- قانون فدرال).

لازم به ذکر است که کارفرما باید رضایت پردازش داده های شخصی را نه تنها از کارکنان، یعنی افرادی که با آنها رابطه شغلی دارد، بلکه از متقاضیان و همچنین از افرادی که قراردادهای قانون مدنی با آنها منعقد شده است، دریافت کند. در سازمان منعقد شده است. این در بند 5 از توضیحات Roskomnadzor مورخ 14 دسامبر 2012 آمده است.

رضایت همگانی

سوال از تمرین:آیا هنگام انعقاد قرارداد کار می توان رضایت کتبی کارمند را برای ارائه اطلاعات شخصی خود به اشخاص ثالث در تمام شرایط لازم قبل از اخراج دریافت کرد؟

نه نمی توانی.

برای انتقال داده های کارکنان به اشخاص ثالث، سازمان ملزم به اخذ رضایت کتبی این کارمند می باشد. بدون رضایت کتبی کارمند، اطلاعات شخصی وی ممکن است به اشخاص ثالث منتقل شود، در صورت لزوم برای جلوگیری از تهدید جان و سلامت کارمند، و در سایر موارد پیش بینی شده توسط قوانین فدرال. چنین قوانینی توسط قسمت 1 ماده 88 قانون کار فدراسیون روسیه تعیین شده است.

قانون کار فدراسیون روسیه الزاماتی برای محتوای رضایت کتبی برای انتقال داده ها ندارد. با این حال، بند 1 از ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ مقرر می دارد که رضایت برای پردازش داده های شخصی باید مشخص، آگاهانه و آگاهانه باشد. از این نتیجه می شود که سازمان باید برای هر مورد انتقال داده های شخصی وی به شخص ثالث رضایت کتبی را از کارمند درخواست کند. تنها تحت چنین شرایطی می توان شرط اختصاصی بودن و رضایت آگاهانه را برآورده کرد. لیست اطلاعاتی که باید در رضایت کتبی برای انتقال داده های شخصی وجود داشته باشد در بند 4 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ تعیین شده است.

پردازش اطلاعات شخصی مجریان بر اساس معدل

سوال از تمرین:آیا برای پردازش اطلاعات شخصی شهروندانی که قراردادهای قانون مدنی با آنها منعقد شده است رضایت کتبی لازم است؟

بله، به طور کلی لازم است، مانند کارمندان تمام وقت.

پردازش داده های شخصی فقط با رضایت کتبی موضوع داده های شخصی امکان پذیر است، به استثنای موارد خاصی که چنین پردازشی بدون رضایت آنها امکان پذیر است (). در عین حال، موضوعات داده های شخصی می توانند هم کارمندانی باشند که تحت قرارداد کار کار می کنند و هم شهروندانی که سازمان با آنها قراردادهای قانون مدنی منعقد کرده است.

بنابراین، یک سازمان به طور کلی باید برای پردازش داده های شخصی، از جمله شهروندانی که قراردادهای قانون مدنی با آنها منعقد شده است، موافقت کند تا هرگونه اختلاف در مورد انتقال غیرمجاز داده ها خارج از محدوده شرایط قرارداد قانون مدنی را حذف کند.

امتناع مجری از دادن چنین رضایتی مانعی برای انعقاد قرارداد مدنی نیست.

پردازش داده ها بدون رضایت

در چه مواردی رضایت کارمند برای انتقال داده های شخصی الزامی نیست؟

در برخی موارد، پردازش اطلاعات شخصی بدون رضایت کارمند امکان پذیر است. به عنوان مثال، اگر پردازش داده های شخصی به منظور انجام قرارداد منعقد شده با یک کارمند یا دستیابی به اهداف مقرر در قانون برای اجرا و انجام وظایف، اختیارات و مسئولیت های تعیین شده توسط قانون روسیه به اپراتور ضروری باشد. ، می توان آن را بدون رضایت کارمند - موضوع داده های شخصی انجام داد. این در قانون 27 ژوئیه 2006 شماره 152-FZ آمده است.

چنین مواردی شامل انتقال اطلاعات به موارد زیر است:

• صندوق بازنشستگی فدراسیون روسیه ()
• مسئولان مالیات ()؛
• کمیساریای نظامی ();
• سایر ارگان ها، زمانی که تعهد به انتقال اطلاعات مربوط به اطلاعات شخصی کارمند به آنها توسط قانون به کارفرما واگذار شده یا برای دستیابی به اهداف تعیین شده توسط قانون ضروری است (به عنوان مثال، دادگاه ها، دادسرا و غیره).

ضمناً در موارد زیر رضایت لازم نیست:

• الزام به پردازش توسط قانون پیش بینی شده است، از جمله انتشار و ارسال اطلاعات شخصی کارکنان در اینترنت (به عنوان مثال، قانون 21 نوامبر 2011 شماره 323-FZ، قانون 9 فوریه 2009 شماره 8-FZ و تعدادی از اعمال دیگر)؛
• داده های شخصی بستگان نزدیک کارمند به میزان پیش بینی شده توسط کارت شخصی (طبق فرم یکپارچه شماره T-2 یا فرم توسعه یافته مستقل) و همچنین در موارد دریافت نفقه، پردازش مزایای اجتماعی و دسترسی به اسرار دولتی؛
• پردازش اطلاعات در مورد وضعیت سلامتی کارمند به موضوع توانایی او در انجام وظایف شغلی مربوط می شود.
• پردازش داده ها مربوط به انجام وظایف رسمی توسط کارمند، از جمله در طول سفر کاری وی است.
• پردازش داده های شخصی هنگام اجرای کنترل دسترسی به قلمرو ساختمان ها و محل های اداری کارفرما انجام می شود، مشروط بر اینکه سازماندهی کنترل دسترسی توسط کارفرما به طور مستقل انجام شود.

اگر سند محلی گزینه هایی را برای تسویه حساب با کارمندان ارائه می دهد یا اصلاً این نقطه را مشخص نمی کند ، کارمندان این حق را دارند که به طور مستقل تصمیم بگیرند که حقوق خود را از طریق صندوق نقدی یا کارت بانکی دریافت کنند. و اگر کارفرما تصمیم به انتقال حقوق به کارت های بانکی برای همه کارمندان داشته باشد، باید از هر کارمند خواسته شود که با پردازش داده های شخصی و انتقال آنها به شخص ثالث - بانک موافقت کند. در چنین شرایطی، کارمندان حق دارند رضایت خود را اعلام نکنند و کارفرما در صورت عدم وجود چنین رضایتی، نمی‌تواند به پردازش داده‌ها و انتقال اطلاعات به بانک در مورد آن دسته از کارمندانی که امتناع کرده‌اند، ادامه دهد.

بیشتر در مورد موضوع:آیا هنگام تغییر بانک برای انتقال حقوق، رضایت مجدد کارمند برای پردازش اطلاعات شخصی لازم است؟

سوال از تمرین:آیا هنگام تغییر بانک برای انتقال حقوق، رضایت کارمند برای پردازش اطلاعات شخصی مجدداً لازم است؟

خیر، لازم نیست، مشروط بر اینکه در رضایت نامه های موجود، بانک خاصی که داده ها به آن ارائه شده، ذکر نشده باشد. اگر رضایت قبلی برای یک بانک خاص تنظیم شده باشد، کارفرما باید طبق قوانین کلی رضایت جدیدی دریافت کند ().

علاوه بر این، در صورتی که در اسناد محلی سازمان پرداخت حقوق به طور خاص به کارت های بانکی پیش بینی شده باشد و کارمند در هنگام استخدام یا در حین کار با این اسناد آشنا شده باشد، نیازی به کسب رضایت نیست (قسمت 2 ماده 9 قانون کار). قانون 27 ژوئیه 2006 شماره 152- قانون فدرال). جزییات را ببینید.

اطلاعیه Roskomnadzor

نحوه اطلاع رسانی به آژانس نظارتی در مورد شروع پردازش داده های شخصی کارکنان

قبل از پردازش اطلاعات شخصی کارکنان، کارفرما باید به بدنه سرزمینی Roskomnadzor از قصد انجام پردازش اطلاع دهد. موارد استثناء موارد پردازش داده های شخصی است:

• مطابق با قوانین کار پردازش می شود؛
• در دسترس عموم توسط کارکنان؛

• دریافت شده توسط سازمان در رابطه با انعقاد قراردادی که کارمند طرف آن است (به شرطی که اطلاعات شخصی بدون رضایت کارمند در اختیار اشخاص ثالث قرار نگیرد و توسط کارفرما صرفاً برای اجرای قرارداد مشخص شده استفاده شود. و انعقاد قراردادهای دیگر با کارمند).
• مربوط به اعضای (شرکت کنندگان) یک انجمن عمومی یا سازمان مذهبی؛
• شامل فقط نام خانوادگی، نام و نام خانوادگی کارکنان؛
• برای هدف ورود یک بار کارمند به قلمرو کارفرما و سایر اهداف مشابه ضروری است.
• شامل سیستم های اطلاعات داده های شخصی است که مطابق با قوانین فدرال دارای وضعیت سیستم های اطلاعات خودکار ایالتی هستند و همچنین در سیستم های اطلاعات شخصی ایالتی ایجاد شده برای محافظت از امنیت ایالت و نظم عمومی.
• پردازش بدون استفاده از ابزارهای اتوماسیون مطابق با قوانین قانونی که الزاماتی را برای اطمینان از امنیت داده های شخصی در طول پردازش آنها و برای احترام به حقوق افراد موضوع داده های شخصی ایجاد می کند.
• در موارد پیش بینی شده توسط قانون روسیه در مورد امنیت حمل و نقل پردازش می شود.

در صورت خاتمه پردازش داده های شخصی، کارفرما نیز موظف است مراتب را به مرجع مجاز اعلام کند. این باید ظرف ده روز کاری از تاریخ خاتمه پردازش داده ها انجام شود. فرم استاندارد برای اطلاع از خاتمه پردازش داده ها تأیید نشده است، بنابراین کارفرما می تواند آن را به هر شکلی تهیه کند ().

سوال از تمرین:آنچه باید با پردازش داده های شخصی کارکنان درک شود

حفاظت از اطلاعات شخصی

نحوه سازماندهی حفاظت از داده های شخصی کارکنان در یک سازمان

برای جلوگیری از افشای اطلاعات شخصی، یک سیستم قابل اعتماد برای محافظت از آن ایجاد کنید. روش دریافت، پردازش، انتقال و ذخیره چنین اطلاعاتی در یک قانون محلی سازمان تعیین شده است، به عنوان مثال در (ماده، قانون کار فدراسیون روسیه،). آیین نامه به تصویب رئیس سازمان می رسد. آن را با امضای کارمندان سازمان آشنا کنید این در قسمت 1 ماده 86 قانون کار فدراسیون روسیه آمده است.

همچنین، سازمان باید شخصی را برای کار با داده های شخصی منصوب کند (بخش 5 ماده 88 قانون کار فدراسیون روسیه). به عنوان یک قاعده ، چنین کارمندی کارمند خدمات پرسنلی است ، زیرا این او است که اغلب در طول کار خود با داده های شخصی کارمندان روبرو می شود. مسئول کار با داده های شخصی را با دستور به هر شکلی تعیین کنید.

اقدامات خاصی برای اطمینان از امنیت داده های شخصی کارکنان در طول پردازش آنها در قانون 27 ژوئیه 2006 شماره 152-FZ و الزامات تصویب شده ارائه شده است. بر اساس آنها، یک سازمان می تواند سیستم حفاظت از داده های شخصی خود را توسعه دهد.

بنابراین، هنگام پردازش داده های شخصی در یک سیستم اطلاعاتی، لازم است از حفاظت و امنیت داده های شخصی اطمینان حاصل شود. در عین حال، تهدیدی برای امنیت داده های شخصی مجموعه ای از شرایط و عواملی است که خطر دسترسی غیرمجاز (از جمله تصادفی) به داده های شخصی را در طول پردازش آنها در سیستم ایجاد می کند که ممکن است منجر به موارد زیر شود:

• تخریب؛
• تغییر دادن؛
• مسدود کردن؛
• کپی برداری؛
• تدارک؛
• گسترش؛
• سایر اقدامات غیرقانونی با داده های شخصی

لازم به ذکر است که انتخاب ابزار امنیت اطلاعات خاص برای سیستم اطلاعات برای پردازش داده های شخصی توسط کارفرما مطابق با مقررات FSB روسیه و FSTEC روسیه انجام می شود. تعیین نوع تهدیدات برای امنیت داده های شخصی مربوط به سیستم پردازش و حفاظت از داده های شخصی با در نظر گرفتن ارزیابی آسیب های احتمالی و مطابق با مقررات ارگان های مذکور (بند، الزامات مصوب مصوبه مصوبه 1388) انجام می شود. دولت فدراسیون روسیه از 1 نوامبر 2012 شماره 1119).

هنگام پردازش داده‌های شخصی در سیستم‌ها، بسته به دسته داده‌ها و تعداد کارمندانی که سیستم حاوی اطلاعاتی درباره آنهاست، می‌توان چهار سطح امنیتی ایجاد کرد. بسته به سطح امنیت، کارفرما باید اقدامات مختلفی را برای محافظت از سیستم های پردازش داده های شخصی ارائه شده در بندهای 13-16 الزامات مصوب 1 نوامبر 2012 شماره 1119 دولت فدراسیون روسیه انجام دهد. به عنوان مثال، ایجاد یک رژیم برای تضمین امنیت اماکنی که داده‌های شخصی در آن قرار دارد، انتصاب افراد مسئول برای تضمین امنیت داده‌های شخصی در سیستم اطلاعاتی و غیره. الزامات خاص برای اقدامات مشخص شده برای تضمین امنیت داده‌های شخصی در طول پردازش آنها با ترکیب و محتوای اقدامات سازمانی و فنی تأیید شده به دستور FSTEC روسیه مورخ 18 فوریه 2013 شماره 21 ایجاد می شود.

برای کنترل امنیت داده های شخصی در حین پردازش آنها، کارفرما یا شخص مجاز از سوی وی حداقل هر سه سال یک بار بررسی های کنترلی را انجام می دهد که زمان بندی خاص آن توسط کارفرما به طور مستقل تعیین می شود. در صورت لزوم، سازمان ها یا کارآفرینان فردی که دارای مجوز برای انجام فعالیت های حفاظت فنی از اطلاعات محرمانه هستند، می توانند در انجام بازرسی به صورت قراردادی مشارکت داشته باشند (بند 17 الزامات مصوب با فرمان دولت فدراسیون روسیه 1 نوامبر 2012 شماره 1119).

بیانیه در مورد داده های شخصی

سوال از تمرین:آیا آیین نامه کار با داده های شخصی کارمندان یک سند اجباری است؟

بله همینطور است.

روش ذخیره سازی، پردازش و استفاده از داده های شخصی کارکنان با در نظر گرفتن الزامات قانون کار فدراسیون روسیه و سایر قوانین فدرال توسط کارفرما تعیین می شود. این بدان معنی است که کارفرما باید به طور مستقل رویه چنین پردازشی را تعیین کند و آن را در یک قانون نظارتی محلی، به ویژه مقررات مربوط به کار با داده های شخصی کارکنان، ثبت کند. کلیه کارکنان سازمان هنگام استخدام باید با مقررات امضاء آشنا شوند (بخش 3 ماده 68 قانون کار فدراسیون روسیه).

با توجه به موارد فوق ، نتیجه می شود که مقررات کار با داده های شخصی یک سند اجباری سازمان است و عدم وجود آن مستلزم مسئولیت اداری (). دادگاه ها نیز به این موضوع اشاره می کنند (برای مثال به قطعنامه خدمات فدرال ضد انحصار منطقه مسکو به شماره KA-A40/10220-06 در 26 اکتبر 2006 مراجعه کنید).

نمونه ای از طراحی آیین نامه کار با داده های شخصی کارکنان

رئیس سازمان آیین نامه کار با داده های شخصی کارکنان را تصویب کرد.

خدمات پرسنلی در سازمان وجود ندارد. حسابدار سازمان V.N به عنوان مسئول حفظ سوابق پرسنل منصوب شد. زایتسوا

سوال از تمرین:چگونه از اطلاعات شخصی موجود در پایگاه داده رایانه محافظت کنیم

برای جلوگیری از دسترسی غیرمجاز به اطلاعات شخصی واقع در پایگاه داده رایانه ای، مقررات رویه ای را برای محافظت از این اطلاعات ایجاد می کند. هر چه خطر دسترسی غیرمجاز به داده های شخصی بیشتر باشد، اقدامات بیشتری باید برای محافظت از این اطلاعات انجام شود. به عنوان مثال، یک سازمان می تواند سیستمی از رمزهای عبور منفرد را معرفی کند که در فواصل زمانی معین تغییر می کند، دسترسی کارکنان را به رایانه هایی که داده های شخصی در آنها ذخیره می شود محدود می کند و دیسک ها و فلاپی دیسک ها را با چنین اطلاعاتی در کابینت های قفل شده ذخیره می کند.

پردازش داده های شخصی در سیستم اطلاعاتی باید مطابق با مفاد بندهای 8-16 الزامات تصویب شده توسط فرمان دولت فدراسیون روسیه در 1 نوامبر 2012 شماره 1119 انجام شود.

یک سازمان می تواند حفاظت از داده های شخصی را هم به طور مستقل و هم با مشارکت سازمان های شخص ثالث که مجوز انجام فعالیت هایی برای حفاظت از اطلاعات محرمانه دارند، تضمین کند. چنین توضیحاتی در بند 17 الزامات تصویب شده توسط فرمان دولت فدراسیون روسیه در 1 نوامبر 2012 شماره 1119 آمده است.

سوال از تمرین:آیا این امکان وجود دارد که به کارمندان غیر HR حق دسترسی به اطلاعات شخصی سایر کارمندان داده شود؟

بله، اگر کارمندان برای انجام برخی وظایف شغلی نیاز به دسترسی به چنین اطلاعاتی داشته باشند، می توانید.

فقط افراد دارای مجوز ویژه که برای انجام وظایف خاص به چنین دسترسی نیاز دارند می توانند به داده های شخصی کارکنان دسترسی داشته باشند. این در قانون کار فدراسیون روسیه آمده است.

به عنوان یک قاعده، به دلیل ماهیت خاص فعالیت های خود، کارکنان باید به داده های شخصی دسترسی داشته باشند:

• کارکنان خدمات پرسنلی؛
• کارکنان حسابداری؛
• مدیر کل و در صورت لزوم معاونان وی؛
• روسای ادارات و سرپرستان فوری.

در این حالت، به هر یک از این دسته از کارکنان، سطح دسترسی خاص خود اختصاص داده می شود. به عنوان مثال، ممکن است به کارمندان بخش حسابداری اجازه داده شود تا به اطلاعات آدرس کارکنان و وضعیت تأهل آنها دسترسی داشته باشند، و مدیران بخش ممکن است به اطلاعات شخصی منحصراً برای زیردستان خود دسترسی داشته باشند.

سطوح دسترسی افراد خاص و همچنین روش خاص برای انتقال داده های شخصی کارکنان در داخل سازمان باید در اسناد محلی آن، به عنوان مثال، در مقررات حفاظت از اطلاعات شخصی کارکنان (بند 5 ماده 88) تعیین شود. قانون کار فدراسیون روسیه). افراد مجاز باید با مفاد سند آشنا باشند و در مورد حقوق و تعهدات خود و همچنین مسئولیت استفاده از اطلاعات برای مقاصد دیگر هشدار داده شوند ().

مشاوره:شرایط ارسال اطلاعات شخصی کارکنان در وب سایت شرکت در مقررات کار با داده های شخصی ذکر شده است. در همان زمان، یک ضمیمه به آن ایجاد کنید، که در آن لیستی از کارمندانی را که با ارسال اطلاعات شخصی موافق (یا مخالف) هستند، نشان می دهید. بنابراین، این الزام برآورده می شود و سازمان می تواند اطلاعات شخصی کارکنانی را که با چنین قرار دادن موافق هستند در وب سایت شرکت پست کند.

به منظور اطمینان از حقوق کارمندان خود، سازمان و نمایندگان آن هنگام پردازش داده های شخصی موظفند از الزامات تنظیم شده توسط قانون کار فدراسیون روسیه پیروی کنند. افرادی که به دلیل نقض قوانین مربوط به حفاظت از داده های شخصی مجرم هستند، مشمول مسئولیت اداری و کیفری هستند (). یا ممکن است با عبارت "به دلیل افشای اطلاعات شخصی کارمند دیگر بر اساس بند "ج" بند 6 قسمت 1 ماده 81 قانون کار فدراسیون روسیه اخراج شوند.

سوال از تمرین:آیا رئیس یک واحد ساختاری حق دارد از حسابداری مطالبه کند تا اطلاعات ماهانه حقوق تعهدی کارکنان زیر مجموعه خود را ارائه کند؟

اطلاعات مربوط به مبالغی که به کارمندان تعلق می گیرد به داده های شخصی اشاره دارد (بند 1، ماده 3 قانون شماره 152-FZ از 27 ژوئیه 2006). در صورتی که مجوز مناسب در یک قانون نظارتی محلی ایجاد شود و رضایت کارمند برای پردازش داده های شخصی وی به دست آمده باشد، سرپرست فوری می تواند از آنها درخواست کند.

در همان زمان، جدول کارکنان حاوی اطلاعاتی در مورد حقوق و پاداش کارکنان است. جدول کارکنان یک سند محلی سازمان است و به اطلاعات شخصی مربوط نمی شود. رئيس واحد ساختاري در صورت نياز مي تواند در صورتي كه در شرح وظايف رئيس يا مصوبه محلي سازمان پيش بيني شده باشد به اين سند مراجعه نمايد. این به او اجازه می دهد تا بدون تماس با بخش حسابداری اطلاعات لازم را به دست آورد.

امتناع از پردازش داده ها

سوال از تمرین:در صورت امتناع شخصی از پردازش اطلاعات شخصی خود چه باید کرد

سازمان این حق را دارد که در صورت وجود دلایل خاصی، به پردازش اطلاعات شخصی افراد بدون رضایت وی ادامه دهد. در عین حال، حجم چنین پردازشی بسیار زیاد است و به سازمان اجازه می دهد تا فعالیت های جاری را بدون اختلال انجام دهد.

به طور خاص، کارفرما ممکن است برای انعقاد قرارداد کار و قانون مدنی، ارسال گزارش های شخصی به مقامات صندوق بازنشستگی فدراسیون روسیه، گزارش مالیاتی به خدمات مالیاتی فدرال روسیه، نیازی به رضایت پردازش داده های شخصی از متقاضیان نداشته باشد. اطلاعات مربوط به افراد مسئول خدمت سربازی به کمیساریای نظامی و همچنین نگهداری اسناد با داده های شخصی از جمله قراردادهای استخدامی و مدنی، کارت های شخصی، پرونده های شخصی و غیره. یعنی زمانی که کارفرما وظایفی را که قانون به او محول می کند انجام دهد. .

چنین قوانینی در بندهای 2-11 قسمت 1 ماده 6، قسمت 2 ماده 10 و قسمت 2 ماده 11 قانون 27 ژوئیه 2006 شماره 152-FZ ایجاد شده است.

برای انجام کلیه اقدامات دیگر، سازمان باید رضایت شخص را برای پردازش داده های شخصی خود جلب کند (بخش 4 ماده 9 قانون 27 ژوئیه 2006 شماره 152-FZ).

توجه:قانون فعلی شخص را ملزم به رضایت از پردازش داده های شخصی نمی کند، بنابراین امتناع از طرف او نمی تواند نقض و زمینه ای برای امتناع از انعقاد قرارداد تلقی شود. همچنین یک کارمند کارکنان را نمی توان به دلیل امتناع از ارائه رضایت به پردازش داده های شخصی اخراج کرد یا تحت اقدامات انضباطی دیگر قرار داد.

سوال از تمرین:اگر یک کارمند از ارائه اطلاعات شخصی اعضای خانواده برای پر کردن اسناد پرسنلی امتناع کند چه باید کرد

غیر شخصی سازی داده های شخصی به اقداماتی اشاره دارد که در نتیجه تعیین مالکیت داده های شخصی برای یک شخص خاص بدون استفاده از اطلاعات اضافی غیرممکن می شود ().

در صورت نیاز به غیر شخصی سازی داده های شخصی، روسای سازمان ها تصویب می کنند:

• قوانین کار با داده های ناشناس؛
• لیستی از موقعیت های کارکنان مسئول انجام اقدامات برای ناشناس کردن داده های شخصی پردازش شده.

چنین قوانینی در زیر بند "ب" بند 1 فهرست مصوب 21 مارس 2012 شماره 211 دولت فدراسیون روسیه ارائه شده است.

الزامات و روش‌های خاص برای غیرشخصی‌سازی داده‌های شخصی پردازش شده در سیستم‌های اطلاعاتی در الزامات و روش‌های تأیید شده توسط دستور شماره ۹۹۶ Roskomnadzor مورخ ۵ سپتامبر ۲۰۱۳ تعیین شده است.

شرط اصلی برای غیر شخصی سازی داده های شخصی، اطمینان از نه تنها محافظت در برابر استفاده غیرمجاز، بلکه همچنین امکان پردازش آنها است. برای انجام این کار، داده های ناشناس باید دارای ویژگی هایی باشند که ویژگی های اساسی داده های شخصی ناشناس را حفظ کنند. چنین ویژگی هایی به ویژه عبارتند از:

• کامل بودن، یعنی حفظ تمام اطلاعات مربوط به افراد یا گروه های خاص که قبل از مسخ شخصیت در دسترس بوده است.
• ساختارمندی، یعنی حفظ ارتباطات ساختاری بین داده‌های غیرشخصی‌شده یک فرد خاص یا گروهی از افراد که قبل از مسخ شخصیت وجود داشته‌اند.
• کاربردپذیری، یعنی توانایی حل مشکلات پردازش داده های شخصی بدون اینکه ابتدا کل حجم سوابق مربوط به افراد را شخصی سازی کنید.
• ناشناس بودن، یعنی عدم امکان شناسایی بدون ابهام موضوعات داده به دست آمده در نتیجه مسخ شخصیت، بدون استفاده از اطلاعات اضافی.

الزامات اصلی برای روش های ناشناس سازی داده های شخصی عبارتند از:

• اطمینان از ویژگی های مورد نیاز داده های ناشناس؛
• انطباق با الزامات ویژگی های روش ها؛
• پیاده سازی روش ها در برنامه های مختلف؛
• حل وظایف محول شده پردازش داده های شخصی.

امیدوار کننده ترین و راحت ترین برای استفاده عملی شامل روش های مسخ شخصیت زیر است:

• روش معرفی شناسه ها، یعنی جایگزینی بخشی از داده های شخصی با شناسه ها و ایجاد جدول مطابقت شناسه ها با داده های اصلی.
• روش تغییر ترکیب یا معناشناسی، یعنی تغییر ترکیب یا معنایی داده های شخصی با جایگزینی نتایج پردازش آماری، خلاصه یا حذف بخشی از اطلاعات.
• روش تجزیه، یعنی تقسیم آرایه ای از داده های شخصی به چند قسمت با ذخیره سازی جداگانه بعدی.
• روش مخلوط کردن، یعنی تنظیم مجدد سوابق فردی، و همچنین گروه هایی از رکوردها در مجموعه ای از داده های شخصی.

به منظور امنیت در هنگام کار با داده های شخصی کارکنان، سازمان های تجاری نیز حق دارند، اما موظف به غیر شخصی سازی نیستند (بند 3 از ماده 3 قانون شماره 152-FZ مورخ 27 ژوئیه 2006). اگر سازمانی تصمیم به ناشناس کردن داده های شخصی دارد، روش خاص ناشناس سازی باید در یک قانون محلی، به عنوان مثال، در مقررات مربوط به کار با داده های شخصی کارکنان (ماده، قانون کار فدراسیون روسیه،) گنجانده شود.

بررسی انطباق با الزامات برای پردازش داده های شخصی

بررسی های انطباق برای پردازش داده های شخصی چگونه انجام می شود

Roskomnadzor بازرسی هایی را از کارفرما در مورد پردازش داده های شخصی انجام می دهد. دستور شماره 312 وزارت مخابرات و ارتباطات جمعی روسیه مورخ 14 نوامبر 2011 مقررات اداری برای اجرای وظایف اعمال کنترل دولتی (نظارت) توسط این سرویس را تصویب کرد.

موضوع کنترل بر فعالیت های کارفرما مربوط به پردازش داده های شخصی عبارتند از:

• ماهیت اطلاعاتی را که در آن گنجاندن داده های شخصی را پیشنهاد می کند یا اجازه می دهد، مستند می کند.
• سیستم های اطلاعات شخصی؛
• فعالیت های پردازشی

Roskomnadzor بازرسی های برنامه ریزی شده و غیر برنامه ریزی شده را در قالب بازرسی های مستند یا در محل انجام می دهد (قانون شماره 294-FZ از 26 دسامبر 2008). حقوق و تعهدات مقامات Roskomnadzor در طول بازرسی ها به ترتیب توسط بندها و مقررات اداری مصوب وزارت مخابرات و ارتباطات جمعی روسیه مورخ 14 نوامبر 2011 شماره 312 تعیین می شود.

بازه زمانی بررسی فعالیت‌های کارفرما در پردازش داده‌های شخصی در طول بررسی‌های برنامه‌ریزی‌شده و غیربرنامه‌ریزی نمی‌تواند بیش از ۲۰ روز کاری باشد. در عین حال، برای مشاغل کوچک، کل دوره بازرسی های برنامه ریزی شده در محل نمی تواند بیش از یک سال باشد:

• 50 ساعت - برای یک شرکت کوچک؛
• 15 ساعت - برای یک شرکت خرد.

در موارد استثنایی، دوره انجام بازرسی برنامه ریزی شده در محل ممکن است تمدید شود، اما حداکثر 20 روز کاری، و برای شرکت های کوچک و خرد - حداکثر 15 ساعت. این در صورتی امکان پذیر است که در حین بازرسی نیاز به موارد زیر باشد:

• تحقیق و آزمایش پیچیده و طولانی؛
• معاینات و تحقیقات ویژه

فقط آن دسته از کارمندانی که متعهد به رعایت قوانین کار با داده های شخصی شده اند و آنها را نقض کرده اند () می توانند مشمول مسئولیت انضباطی باشند. اگر در رابطه با نقض قوانین کار با داده های شخصی، سازمان متحمل آسیب واقعی مستقیم شود، ممکن است مسئولیت مالی ایجاد شود ().

در صورت تخلف از رویه جمع‌آوری، ذخیره، استفاده یا توزیع اطلاعات شخصی، سازمان و مسئولان آن جریمه خواهند شد. در طی یک بازرسی، Roskomnadzor ممکن است چندین تخلف مختلف را تشخیص دهد. سپس چندین جریمه را به طور همزمان جمع آوری خواهد کرد.

میزان جریمه بستگی به نوع تخلف دارد. بنابراین، مقامات می توانند از 3000 تا 20000 روبل، کارآفرینان فردی - از 5،000 تا 20،000 روبل، سازمان ها - از 15،000 تا 75،000 روبل جریمه شوند. برای اطلاعات بیشتر در مورد جریمه های تخلف در کار با داده های شخصی، جدول را ببینید.

چنین اقدامات مسئولیتی در مواد قانون فدراسیون روسیه در مورد تخلفات اداری پیش بینی شده است.

مسئولیت کیفری برای رئیس یک سازمان (شخص دیگری که مسئول کار با داده های شخصی است) ممکن است برای غیرقانونی ایجاد شود:

• جمع آوری یا توزیع اطلاعات در مورد زندگی خصوصی یک کارمند که راز شخصی یا خانوادگی او را تشکیل می دهد، بدون رضایت او.
• انتشار این اطلاعات در یک سخنرانی عمومی، اثر نمایش داده شده عمومی یا رسانه ها.

مجازات های زیر برای این تخلفات در نظر گرفته شده است:

• جریمه تا 200000 روبل. (یا به میزان درآمد محکوم علیه برای مدت 18 ماه).
• کار اجباری تا 360 ساعت؛
• کار اصلاحی تا یک سال؛
• کار اجباری برای مدت حداکثر دو سال با یا بدون محرومیت از حق تصدی پست های خاص یا شرکت در فعالیت های خاص برای مدت حداکثر سه سال.
• بازداشت تا چهار ماه؛
• حبس تا دو سال با محرومیت از حق تصدی سمت های خاص یا انجام فعالیت های خاص به مدت حداکثر سه سال.

در این صورت، همان اعمالی که شخصی با استفاده از موقعیت رسمی خود مرتکب می شود، مجازات دارد:

• جریمه نقدی از 100000 تا 300000 روبل. (یا به میزان درآمد محکوم علیه برای مدت یک تا دو سال).
• محرومیت از حق تصدی برخی مناصب یا انجام فعالیتهای خاص برای مدت دو تا پنج سال.
• کار اجباری برای مدت حداکثر چهار سال با یا بدون محرومیت از حق تصدی پست های خاص یا شرکت در فعالیت های خاص برای مدت حداکثر پنج سال.
• بازداشت برای مدت چهار تا شش ماه؛
• حبس تا چهار سال با محرومیت از حق تصدی سمت های خاص یا انجام فعالیت های خاص به مدت حداکثر پنج سال.

سوال از تمرین:آیا امکان عدم افشای اطلاعات محرمانه در قراردادهای کاری کارکنان وجود دارد؟

بله، تو میتونی.

اما فقط برای آن دسته از کارمندانی که مستقیماً با داده های شخصی کار می کنند: افسران منابع انسانی، مدیران منابع انسانی، منشی ها (). در این مورد، هنگام استخدام، کارمند را با مقررات کار با داده های شخصی آشنا کنید.

سوال از تمرین:آیا می توان اطلاعات مربوط به کار یک کارمند در سازمان را از طریق تلفن به نمایندگان شرکت های دیگر مانند بانک ها ارائه کرد؟

بله، می توانید، اما فقط با رضایت کتبی خود کارمند.

داده های شخصی به معنای هرگونه اطلاعاتی است که به طور مستقیم یا غیرمستقیم به یک فرد خاص (موضوع داده های شخصی) مربوط می شود (بخش 1 ماده 3 قانون 27 ژوئیه 2006 شماره 152-FZ). در عین حال، فهرست داده های شخصی جامع نیست، یعنی هر گونه اطلاعات مربوط به یک شخص خاص، داده های شخصی او است. بنابراین، محل کار و خود واقعیت کار که از یک سازمان درخواست شده است، به عنوان مثال، توسط یک موسسه اعتباری برای تأیید واقعیت کار یا توسط یک کارفرمای احتمالی در مورد یک کارمند سابق، داده های شخصی هستند. بنابراین، انتقال داده های مربوط به یک کارمند به سایر سازمان ها تنها با رعایت الزامات عمومی برای پردازش داده های شخصی، یعنی فقط با رضایت خود کارمند امکان پذیر است (بند 3، قسمت 1، ماده 86 قانون کار. قانون کار فدراسیون روسیه،).

بنابراین، می توان اطلاعاتی در مورد این واقعیت که کارکنان از طریق تلفن کار می کنند به افراد ناشناس، از جمله افرادی که خود را به عنوان متخصص بانک معرفی می کنند، ارائه کرد، اما تنها با رضایت کتبی خود کارمند، صرف نظر از اینکه وی به کار در سازمان ادامه می دهد یا خیر. یا قبلا ترک کرده است.

سوال از تمرین:آیا کارفرما موظف است بنا به درخواست سازمان اجرای احکام، واقعیت کار در سازمان کارمند بدهکار را گزارش دهد؟

واقعیت کار در یک سازمان به اطلاعات شخصی کارمند اشاره دارد. ضابط اجرائی حق دارد از سازمان اطلاعاتی در مورد کارمندانی که در رابطه با آنها تصمیمات دادگاه در مورد پرداخت نفقه یا سایر انواع پرداخت های اعطایی گرفته شده است ، از جمله اطلاعات مربوط به اطلاعات شخصی درخواست کند. کارفرما حق ندارد این درخواست را نادیده بگیرد. چنین قوانینی توسط قانون 2 اکتبر 2007 شماره 229-FZ ایجاد شده است.

در عین حال، کارفرما حق دارد واقعیت کار در سازمان یک کارمند بدهکار را بدون رضایت وی برای انتقال داده های شخصی به اشخاص ثالث گزارش دهد، زیرا در این مورد پردازش داده های شخصی برای اجرای عدالت ضروری است. ، اجرای یک عمل قضایی مشمول اجرا مطابق با قانون روسیه در مورد اقدامات اجرایی (بند 3 ، قسمت 1 ، ماده 6 ، بند 6 ، قسمت 2 ، ماده 10 ، قسمت 2 ، ماده 11 قانون 27 ژوئیه ، 2006 شماره 152-FZ).

بنابراین، کارفرما موظف است به درخواست ضابطان در مورد واقعیت کار کارمند بدهکار پاسخ دهد. رضایت کارکنان را دریافت کنید

مارگاریتا اورلووا پاسخ می دهد،

رئیس بخش مدیریت مشارکت های بیمه ای خدمات بیمه فدرال روسیه

«برای تأیید نوع اصلی فعالیت برای یک بخش جداگانه که به طور مستقل مشارکت می پردازد، همان اسنادی را که برای کل سازمان ارائه می شود ارائه دهید. تنها تفاوت این است که آنها فقط اطلاعات مربوط به تقسیم را منعکس می کنند و آن را به شعبه صندوق بیمه اجتماعی در محل ثبت چنین تقسیم می کنند. نحوه پرداخت سهم تا زمانی که از صندوق بیمه اجتماعی در مورد تعرفه سال جاری دریافت نکرده اید - در توصیه نامه خواهید فهمید.

که معلوم شد هم در حسابداری و هم در هنگام بررسی درخواست های وام و غیره مهم ترین است.

اما این که چیست و چه کسی هنوز حق دارد چنین اطلاعاتی را پردازش کند و چه کسی ندارد، به ندرت حتی با اکراه اشاره می شود.

در نتیجه، گاهی اوقات درک اینکه کنترل کننده داده های شخصی کیست دشوار است.

- این اطلاعاتی در مورد یک شخص است که او را به عنوان یک فرد خاص توصیف می کند، تعمیم داده نمی شود و نمی تواند برای گروهی از افراد اعمال شود. در بیشتر موارد، ما در مورد نام خانوادگی، نام، نام خانوادگی، تاریخ تولد، آدرس محل ثبت نام و زندگی فرد، وضعیت تأهل و غیره صحبت می کنیم.

مفهوم داده های شخصی پس از تصویب "در مورد داده های شخصی" در سال 2006 وارد گردش تجاری شد. در آنجا، تقسیم‌بندی اطلاعات به تعدادی دسته‌بندی معرفی شد که امکان تعیین سطوح وضوح پردازش را برای موقعیت‌های مختلف ممکن می‌سازد.

1. اطلاعات در مورد نژاد و ملیت، اعتقادات مذهبی، وضعیت سلامتی و جزئیات زندگی صمیمی یک شهروند.
2. اطلاعاتی که علاوه بر شناسایی یک شهروند، به شما این امکان را می دهد که اطلاعات مختلفی در مورد او به دست آورید، مثلاً شماره تلفن، محل سکونت و غیره.
3. اطلاعاتی که یک فرد را از دیگران متمایز می کند - نام خانوادگی، نام و تاریخ کامل تولد.
4. اطلاعات عمومی، به عنوان یک قاعده، ناشناس است، اما گاهی اوقات نیز اطلاعاتی که طبق قانون باید عمومی باشد، به عنوان مثال، درآمد مقامات دولتی. یک دسته جداگانه شامل داده هایی است که خود شهروند به آنها رضایت داده است، به عنوان مثال، آدرس و شماره تلفن در میز کمک 09.

به طور کلی، قانون "در مورد داده های شخصی" برای تضمین حق هر شهروند برای حفظ حریم خصوصی و حفاظت در صورت تخلف طراحی شده است. بر اساس طبقه بندی فوق، الزامات مختلفی برای اطمینان از ایمنی اطلاعات اعمال می شود. برای دسته اول، الزامات سختگیرانه تر از سایرین است.

چه کسی اپراتور داده های شخصی است

اپراتور داده های شخصی یک شخص حقوقی است که به موجب فعالیت های خود با اطلاعات مشتریان و کارکنان فعلی و بالقوه سروکار دارد. اندازه سازمان اصلا مهم نیست و شکل مالکیت آن هم مهم نیست.

در عمل، اپراتور هر سازمانی است که نیروی کار استخدامی را استخدام می کند. از این گذشته ، استخدام بدون پر کردن فرم درخواست با لیست نسبتاً دقیق اطلاعات در مورد خود و همچنین ارسال اسناد شخصی غیرممکن است و از همه آنها کپی می شود ، اطلاعات وارد برنامه های حسابداری می شود و غیره.

الزام اصلی قانون فدراسیون روسیه برای اپراتورها اطمینان از ایمنی داده هایی است که سازمان در جریان فعالیت های خود دریافت کرده است.

استانداردهایی که بر اساس آن حفاظت تضمین می شود در قانون مذکور مقرر شده است، همچنین می توان آنها را توسط آیین نامه های به اصطلاح تنظیم کننده مشخص کرد.

رویه خاصی وجود دارد که مواردی را تنظیم می کند که یک سازمان حق کار با داده های شخصی را بدون اطلاع به موارد زیر دریافت می کند:

• اگر شرکت فقط اطلاعاتی را که برای روابط کار مورد نیاز است پردازش کند.
• زمانی که داده‌های در دسترس عموم پردازش می‌شوند؛
• اگر فقط نام خانوادگی، نام، نام خانوادگی پردازش شود.
• وقتی از آنها یک بار استفاده می شود، به عنوان مثال، برای صدور مجوز؛
• اگر از فناوری رایانه برای پردازش استفاده نشود.

تمام سازمان های دیگر ملزم به ثبت نام هستند، در نتیجه یک شماره ثبت منحصر به فرد دریافت می کنند که تحت آن در یک ثبت ویژه ثبت می شوند.

همیشه می تواند روشن کند که آیا یک شخص حقوقی خاص حق درخواست یا ذخیره داده های شخصی را دارد یا خیر.

به عنوان مثال، چنین سوالاتی اغلب در رابطه با موسسات اعتباری، اپراتورهای تلفن همراه و غیره مطرح می شود.

بنابراین، مرسوم است که به سازمان‌هایی با «اپراتورهای پردازش داده‌های شخصی» که به دلیل فعالیت‌های حرفه‌ای خود، نه تنها اطلاعات در دسترس عموم، بلکه از قبیل سریال، شماره پاسپورت، آدرس محل سکونت و غیره را جمع‌آوری و پردازش می‌کنند، تماس می‌گیرند.

به دست آوردن حق پردازش داده های شخصی

برای اطمینان از امنیت ذخیره سازی و انتقال داده های شخصی، رویه ای برای صدور گواهینامه و اخذ مجوز برای سازمان های دخیل در جمع آوری و ذخیره این اطلاعات ارائه شده است.

برای دریافت مجوز، یک شرکت نه تنها باید کارکنان را آموزش دهد، بلکه تجهیزات حفاظتی فنی را نیز خریداری کند.

این روش شامل چندین مرحله است که مهمترین آنها را می توان شناسایی کرد.

• به مقامات مربوطه از قصد پردازش داده ها با استفاده از وسایل (رایانه) اطلاع دهید.
• تحت بررسی اولیه سیستم های اطلاعاتی موجود قرار می گیرند.
• طراحی یک سیستم حفاظتی با در نظر گرفتن زیرساخت تجهیزات کامپیوتری و سایر تجهیزات اتوماسیون؛
• خرید و اجرای تجهیزات حفاظتی؛
• همه محل ها را با ایمنی آتش سوزی، امنیت، تامین برق و غیره مطابقت دهید.
• انجام آموزش های پیشرفته برای کارکنان در زمینه حفاظت از داده های شخصی و صدور گواهینامه آنها.

در نتیجه، امکان تضمین وجود یک سیستم کارآمد برای محافظت از اطلاعات در هنگام انتقال اطلاعات از طریق خطوط ارتباطی وجود دارد.

شایان ذکر است که تمام اقدامات شرح داده شده در بالا فقط می تواند برای پردازش داده های شخصی به شکل الکترونیکی اعمال شود که به طور بالقوه برای اطلاعات ذخیره شده یا منتقل شده ناامن است.

بررسی فعالیت اپراتورهای داده های شخصی

کار همه اپراتورهای داده های شخصی نه تنها توسط قوانین قانونی تنظیم می شود، بلکه مشمول بازرسی های منظم، برنامه ریزی شده و تصادفی، به عنوان مثال، بنا به درخواست شهروندان تحت تأثیر فعالیت های آنها است.

بسیاری از سازمان‌های نظارتی و مجری قانون باید در نظارت بر رعایت قانون حفاظت از داده‌های شخصی مشارکت داشته باشند، اما به دلیل ویژگی‌های کار، تنها سه مورد از آنها متمایز هستند (به آنها تنظیم کننده می‌گویند):

• Roskomnadzor - وظایف آن شامل تأیید انطباق با هرگونه الزامات نظارتی قانون و همچنین انجام بازرسی است.
• FSTEC (سرویس فدرال برای کنترل فنی و صادرات) - وظایف آن اول از همه شامل محافظت از داده های واقع در رایانه های خود سازمان و همچنین کانال های انتقال آنها در هنگام ذخیره و ارسال بدون رمزگذاری است.
• FSB (سرویس امنیتی فدرال) - استفاده از ابزارهای رمزگذاری را برای پردازش و انتقال اطلاعات شخصی، از جمله توسعه و توزیع آنها، کنترل می کند.

شما می توانید نگرش یک سازمان خاص نسبت به اپراتورهای اطلاعات شخصی را خودتان بررسی کنید.

وب سایت Roskomnadzor به ثبت اپراتورهایی که داده های شخصی را پردازش می کنند دسترسی دارد؛ در این پیوند موجود است.

برای مشاهده اطلاعات کافی است نام یا شماره ثبت شرکت مورد نظر یا شماره شناسایی مالیات دهندگان (TIN) آن را در قسمت مربوطه وارد کنید.

به این ترتیب می توانید متوجه شوید که آیا داده ها به صورت قانونی درخواست شده اند یا خیر. اگر این سازمان در لیست نیست، شاید Roskomnadzor باید از این موضوع مراقبت کند و یا آن را در ثبت ثبت کند یا جمع آوری غیرقانونی اطلاعات در مورد شهروندان را ممنوع کند.

تأیید اپراتورهای داده های شخصی یا به درخواست شهروندان یا به ابتکار عمل، به عنوان مثال، دفتر دادستانی انجام می شود که می تواند به عنوان بخشی از ممیزی فعالیت های سازمان با Roskomnadzor تماس بگیرد.

مسئولیت تخلف در پردازش اطلاعات شهروندان در نظر گرفته شده است. بسته به شدت اعمال ممکن است مجازات اداری، انضباطی یا کیفری داشته باشد.

به طور کلی، قبل از دادن مجوز برای پردازش داده های شخصی در یک اعتبار یا سازمان دیگری که چنین حقی را درخواست می کند، بهتر است ابتدا مطمئن شوید که به عنوان اپراتور ثبت شده است و بنابراین همه چیز را برای ذخیره سازی ایمن دارد.

این ممکن است به ویژه در مورد مشاغل کوچک، مانند آنهایی که وام های کوچک ارائه می دهند، اعمال شود.

البته بدون ارائه چنین رضایتی، این گونه سازمان ها معمولا از خدمات خودداری می کنند، اما هیچ اشکالی ندارد، زیرا رقابت بسیار زیاد است و همیشه می توانید گزینه مناسب دیگری را پیدا کنید.

قانون اطلاعات شخصی شماره 152-FZ مورخ 27 ژوئیه 2006 همه افرادی که در پردازش داده های شخصی شرکت دارند را ملزم می کند که در یک ثبت نام ویژه ثبت نام کنند. این چه نوع ثبت نامی است، درج در آن برای چه کسانی اجباری است و نحوه ثبت نام چگونه انجام می شود - این همان چیزی است که مقاله ما در مورد آن است.

چه کسی اپراتور داده های شخصی است

قانون شماره 152-FZ به اپراتورها به عنوان سازمان های دولتی، سازمان ها و افرادی اشاره می کند که داده های شخصی را جمع آوری می کنند و همچنین به طور مستقل اهداف جمع آوری، ترکیب اطلاعات و اقدامات انجام شده با آن را تعیین می کنند (ماده 3 قانون شماره 152- FZ).

به عبارت ساده، اپراتور داده های شخصی شخصی است که از داده های شخصی شهروندان برای کار و سایر روابط استفاده می کند. وظیفه اصلی آنها حفظ محرمانه بودن داده های شخصی دریافت شده است، یعنی. ممنوعیت انتقال داده ها به اشخاص ثالث و توزیع آنها بدون رضایت شخص، مگر اینکه این داده ها ناشناس باشند.

ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor

قبل از شروع پردازش داده های شخصی، اپراتور موظف است به آژانس دولتی مجاز برای حفظ ثبت اپراتورهای داده های شخصی - Roskomnadzor (قسمت 1، ماده 22 قانون شماره 152-FZ) اطلاع دهد. این سرویس فدرال بر حوزه ارتباطات، ارتباطات جمعی و فناوری اطلاعات نظارت دارد. کنترل دولتی بر پردازش داده های شخصی توسط اپراتورها، مطابق با قانون، توسط Roskomnadzor نیز انجام می شود. برای این منظور، بر اساس مقررات مصوب وزارت مخابرات و ارتباطات جمعی فدراسیون روسیه در تاریخ 14 نوامبر 2011 به شماره 312، اپراتورهای اطلاعات شخصی را بررسی می کند.

می توانید ثبت نام اپراتورهای پردازش داده های شخصی را در وب سایت رسمی Roskomnadzor مشاهده کنید؛ اطلاعات آن برای عموم در دسترس است.

کافی است در تمام مدت فعالیت اپراتور یک بار اطلاع رسانی ارسال شود. در عین حال، قانون شامل فهرستی از استثنائات است که در صورت امکان کار با داده های شخصی بدون درج در ثبت نام اپراتورهای داده های شخصی (بخش 2 ماده 22 قانون شماره 152-FZ):

• هنگامی که اپراتور-کارفرما فقط داده های به دست آمده را مطابق با قانون کار پردازش می کند.
• اگر اپراتور داده هایی را از طرف مقابل در ارتباط با انعقاد قرارداد دریافت کرده و از آن برای اهدافی غیر از اجرای توافق استفاده نمی کند.
• هنگامی که اپراتور داده های شخصی یک سازمان مذهبی یا عمومی است که داده های شخصی شرکت کنندگان خود را برای اهداف پیش بینی شده در اساسنامه خود پردازش می کند.
• اگر خود شهروند اطلاعات شخصی خود را در دسترس عموم قرار داده باشد.
• اگر اطلاعات شخصی شامل هیچ چیز دیگری به جز نام کامل نباشد؛
• هنگامی که داده ها برای صدور مجوز یک بار دریافت می شود.
• هنگام پردازش داده های شخصی توسط سیستم های اطلاعات خودکار دولتی؛
• اگر داده های شخصی "بر روی کاغذ" پردازش شوند، به عنوان مثال. بدون استفاده از اتوماسیون؛
• زمانی که از داده ها برای اطمینان از ایمنی سیستم های حمل و نقل استفاده می شود.

همه افرادی که در این لیست ذکر نشده اند، ملزم به ارسال اعلان برای درج در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor هستند. بسیاری از کارآفرینان و سازمان‌ها این الزام را نادیده می‌گیرند یا خیلی دیر متوجه آن می‌شوند. اما می‌توانید بعداً با ذکر تاریخ واقعی شروع پردازش داده‌های شخصی، اخطاری برای درج در ثبت ارسال کنید و هیچ جریمه‌ای برای تأخیر در پی نخواهد داشت.

نحوه اطلاع رسانی Roskomnadzor

برای ارسال اعلان در مورد پردازش داده های شخصی، اپراتور پردازش داده های شخصی باید فرم الکترونیکی را در وب سایت Roskomnadzor پر کند. فرم اطلاع رسانی شامل:

• اطلاعات مربوط به خود اپراتور (نام، INN، OGRN، آدرس مکان، شماره تلفن، شماره مجوز و غیره)؛
• مبانی قانونی و اهداف پردازش داده ها طبق قانون؛
• شرح اقدامات و ابزارهای حفاظت از داده های شخصی؛
• تاریخ واقعی شروع پردازش داده های شخصی توسط اپراتور؛
• شرایطی که تحت آن پردازش خاتمه می یابد (به عنوان مثال، پس از لغو مجوز بهره برداری)، یا یک دوره خاتمه خاص؛
• دسته‌هایی از داده‌های شخصی که تحت پردازش هستند (نام، سال تولد، وضعیت تأهل، آدرس محل سکونت، شغل، درآمد، وضعیت سلامت و غیره)، استفاده از داده‌های بیومتریک؛
• اقدامات با داده های شخصی و روش های پردازش آنها (اتوماتیک یا غیر خودکار، با انتقال از طریق اینترنت یا نه، و غیره)؛
• داده های شخصی که مسئول پردازش داده های شخصی است.

پس از پر کردن اعلان الکترونیکی، اپراتور اطلاعات شخصی آن را به Roskomnadzor ارسال می کند و نسخه دیگری روی کاغذ چاپ می شود. نسخه چاپ شده توسط مدیر امضا و با مهر تایید شده است. باید با بسته ای از اسناد لازم (مقررات مربوط به داده های شخصی، فرم رضایت برای پردازش، سفارش برای انتصاب افراد مسئول و غیره) همراه باشد و از طریق پست به دفتر منطقه ای Roskomnadzor ارسال شود.

30 روز برای ثبت نام در ثبت نام از تاریخ دریافت اطلاعیه توسط Roskomnadzor اختصاص داده شده است. می توانید وضعیت اعلان ارسالی را در همان وب سایت پیگیری کنید.

اگر Roskomnadzor اطلاعات مشخص شده در اعلان را ناقص یا غیر قابل اعتماد بداند، ممکن است از اپراتور درخواست توضیح دهد. در صورت تغییر هر گونه داده، اپراتور باید ظرف 10 روز به مرجع نظارتی اطلاع دهد تا تنظیمات را در ثبت انجام دهد.

همه شرکت ها و کارآفرینان فردی نمی دانند که آیا اپراتورهای داده های شخصی هستند و آیا نیاز به انتقال اطلاعات مربوط به خود به Roskomnadzor دارند یا خیر. بیایید بفهمیم که این سرویس چه کسی را با دقت بیشتری رصد می کند و چگونه شهروندان را در مورد شروع پردازش اطلاعات شخصی آگاه می کند.

اپراتورهای داده های شخصی چه کسانی هستند و چه کاری انجام می دهند؟

اکثر مردم می دانند که داده های شخصی (از این پس به عنوان PD نامیده می شود) شامل اطلاعاتی در مورد نام خانوادگی، نام و نام خانوادگی شهروند، اطلاعات گذرنامه، شماره تلفن همراه، آدرس محل سکونت، ایمیل او می باشد. چه اطلاعات دیگری می تواند در این لیست گنجانده شود؟ معلوم می شود که هر: یک لیست جامع در هیچ کجا ارائه نشده است و در اصل نمی تواند وجود داشته باشد. این توسط فرمول در تایید شده است قانون فدرال مورخ 27 ژوئیه 2006 شماره 152-FZ:

داده های شخصی - هر گونه اطلاعات مربوط به یک فرد به طور مستقیم یا غیر مستقیم شناسایی یا قابل شناسایی (موضوع داده های شخصی).

به نظر می رسد که در برخی موارد نام خانوادگی، نام و شماره خودرو برای شناسایی یک شهروند کافی است، در حالی که در موارد دیگر به شماره گواهینامه رانندگی و آدرس ثبت نام وی نیز نیاز خواهید داشت.

اپراتور داده های شخصی یک نهاد دولتی یا شهرداری، شخص حقوقی یا شخصی است که:

• به طور مستقل یا مشترک با افراد دیگر پردازش داده های شخصی را سازماندهی و/یا انجام می دهد.
• اهداف کار با اطلاعات شخصی، ترکیب آن و همچنین اقدامات (عملیات) با آن را تعیین می کند.

یعنی هرکسی که اطلاعات شخصی را درخواست می کند و از آن استفاده می کند اپراتور آنهاست. و هرکسی که به اطلاعاتی دسترسی دارد و آنها را پردازش می کند که توسط آنها می توان یک شهروند را شناسایی کرد، در واقع با داده های شخصی کار می کند و مسئول عدم رعایت قانون حمایت از آنها است.

بیایید تصور کنیم چه کسانی ممکن است به عنوان اپراتورهای PD طبقه بندی شوند. بانک ها؟ آره! سایت هایی که مطالبی در مورد مشترکین جمع آوری می کنند؟ آره! شرکت های حقوقی و حسابداری ارائه دهنده خدمات مختلف؟ آره! فروشگاه ها و سالن های زیبایی برای خرید کارت جایزه پیشنهاد می کنند؟ بله دوباره! انجمن های صاحبان خانه، دانشگاه ها، مهدکودک ها، آژانس های مسافرتی، موسسات پزشکی، سیستم های خودکار، از جمله دولتی؟ بله بله بله! اپراتورهای PD - در همه جا، در هر زمینه!

تعهدات اپراتور هنگام پردازش داده های شخصی

هر فردی که با داده های شخصی سر و کار دارد، موظف است قوانین خاصی را برای جمع آوری، تضمین امنیت، شفاف سازی، مسدود کردن و از بین بردن این نوع اطلاعات رعایت کند. طبق قانون شماره 152-FZ، اپراتورها باید:

• انجام کار توضیحی با موضوع داده های شخصی و همچنین کسب رضایت قبلی وی برای پردازش اطلاعات شخصی.
• خط مشی مربوط به پردازش داده های شخصی را به صورت عمومی ارائه دهید.
• ارائه اقدامات حفاظتی در برابر دسترسی غیرمجاز یا تصادفی به داده های شخصی، تخریب، اصلاح، مسدود کردن، کپی کردن، توزیع آنها؛
• اگر موضوع داده های شخصی ثابت کند که اطلاعات به طور غیرقانونی به دست آمده است یا برای دستیابی به هدف ذکر شده ضروری نیست، سوابق را از بین ببرید.
• به درخواست یک نهاد مجاز یا موضوع داده های شخصی (نماینده آن) دسترسی به اطلاعات را مسدود کنید.

ثبت نام در Roskomnadzor به عنوان اپراتور داده های شخصی

قانون مقرر می دارد قبل از شروع کار با اطلاعات شخصی، لازم است با مرجع نظارتی مجاز تماس گرفته و شروع به کار را با اطلاعات شخصی اعلام کند. این بدان معنا نیست که هر شرکتی باید در ثبت نام اپراتورهای اطلاعات شخصی Roskomnadzor گنجانده شود. این فهرست شامل سازمان‌ها و افرادی نمی‌شود که با اطلاعاتی سروکار دارند که:

• مطابق با قوانین کار جمع آوری و ذخیره می شود.
• صرفاً برای ارائه خدمات ارتباطی تحت قرارداد منعقد شده دریافت می شود ، بدون رضایت موضوع PD به اشخاص ثالث توزیع یا ارائه نمی شود.
• به اعضای (شرکت کنندگان) یک انجمن عمومی یا سازمان مذهبی برای دستیابی به اهداف پیش بینی شده در اسناد تشکیل دهنده آنها اشاره دارد.
• توسط موضوع PD در دسترس عموم قرار گرفته است.
• فقط شامل نام خانوادگی، نام و نام خانوادگی افراد مربوط به داده های شخصی است.
• برای دریافت مجوز یکبار مصرف به قلمرو سازمان مورد نیاز است.
• در سیستم هایی با وضعیت سیستم های اطلاعات خودکار دولتی و همچنین در سیستم های PD دولتی ایجاد شده برای محافظت از امنیت ایالت و نظم عمومی گنجانده شده است.
• پردازش بدون استفاده از ابزارهای اتوماسیون (کامپیوتر)؛
• پردازش شده برای اطمینان از عملکرد ایمن مجتمع حمل و نقل.

با در نظر گرفتن چنین فرمول هایی، بسیاری از سازمان ها دیگر در ثبت اپراتورهای پردازش داده های شخصی نگهداری شده توسط Roskomnadzor گنجانده نمی شوند. یعنی کارفرمایان، شرکت‌های ارائه‌دهنده خدمات ارتباطی، سازمان‌های مذهبی، افرادی که داده‌های شخصی را فقط برای اجرای قراردادها دریافت می‌کنند و بسیاری دیگر نباید در مورد جمع‌آوری و پردازش داده‌های شخصی اطلاع دهند. کسانی که استثنائات برای آنها اعمال نمی شود باید در لیست مرجع نظارتی باشند.

روند ثبت نام شامل ارسال یک اعلان در یک فرم خاص است. می توان آن را از طریق ثبت اطلاعات شخصی Roskomnadzor، پورتال خدمات دولتی یا استفاده از آن یافت دستور وزارت مخابرات و ارتباطات جمعی روسیه مورخ 21 دسامبر 2011 N 346. در پایان این مقاله می توانید سند مورد نیاز را به صورت رایگان دانلود کنید.

• نام کامل و اختصاری شرکت که نشان دهنده شکل سازمانی و قانونی و همچنین آدرس های حقوقی و پستی، TIN باشد.
• اهداف پردازش ذکر شده در اسناد تشکیل دهنده یا واقعاً انجام شده است.
• دسته های PD که پردازش خواهند شد.
• موضوعاتی که PD آنها برای پردازش برنامه ریزی شده است، از جمله روابط با آنها، به عنوان مثال، مسافر، وام گیرنده، مشترک، سپرده گذار، بیمه گذار.
• مبنایی که بر اساس آن حق پردازش وجود دارد (به عنوان مثال، مقالات کد هوایی فدراسیون روسیهیا قانون وضعیت مدنیدر مورد اعمال وضعیت مدنی)، از جمله در دسترس بودن مجوز برای نوع فعالیت انجام شده؛
• شرح روش های پردازش PD مورد استفاده و فهرست آنها: پردازش دستی، خودکار یا ترکیبی.
• اطلاعات در مورد افراد مسئول سازماندهی پردازش داده های شخصی، شماره تلفن، آدرس پستی، ایمیل.
• اطلاعات در مورد ابزارهای رمزگذاری (رمز نگاری)؛
• تاریخ شروع، و همچنین شرایط و شرایط خاتمه پردازش PD؛
• اطلاعات در مورد محل ذخیره داده ها در طول پردازش آن، از جمله در مورد کشوری که پایگاه های داده با اطلاعات مربوط به اطلاعات شخصی شهروندان فدراسیون روسیه در آن قرار دارد.
• اطلاعات در مورد اطمینان از امنیت داده های شخصی مطابق با الزامات تعیین شده فرمان دولت فدراسیون روسیه مورخ 1 نوامبر 2012 N 1119.

لطفا توجه داشته باشید که ثبت نام اپراتور داده های شخصی در وب سایت Roskomnadzor ظرف 30 روز انجام می شود. در صورت ارسال درخواست الکترونیکی، شرکت باید علاوه بر این، یک نسخه کاغذی از اطلاعیه را به مقام منطقه ای ارسال کند. در صورت ناکافی بودن اطلاعات، مقامات درخواستی برای شفاف سازی مدارک ارسالی ارسال خواهند کرد. امتناع از پذیرش اعلان و وارد کردن اطلاعات مربوط به یک سازمان در ثبت نام غیرممکن است.

اگر به دلایل مختلف، اهداف سازمان برای پردازش PD تغییر کرده است یا نیاز به ایجاد تغییرات دیگری باشد، ظرف مدت 10 روز نامه ای به Roskomnadzor در فرم تعیین شده ارسال می کند. سند را می توان در زیر یافت. علاوه بر این، خوانندگان PPT.ru می توانند فرمی از سند مورد نیاز برای حذف یک شرکت از ثبت نام را دانلود کنند.

تمام خدمات ارائه شده توسط Roskomnadzor در این مورد رایگان است.

مسئولیت امتناع از ثبت نام در ثبت نام

قانون فعلی مسئولیت اداری را برای نقض الزامات حفاظت از داده های شخصی پیش بینی می کند. مطابق با قانون فدرال مورخ 02/07/2017 شماره 13-FZ، که از 1 ژوئیه 2017 در سال 2017 لازم الاجرا شد ماده 13.11 قانون تخلفات اداری فدراسیون روسیهچندین تخلف وجود دارد که اپراتورهای اطلاعات شخصی ممکن است جریمه شوند. بسته به تخلف، جریمه برای اشخاص حقوقی طبق این ماده از 15 تا 75 هزار روبل و برای کارآفرینان فردی - از 5 تا 20 هزار روبل متغیر است.

امتناع از ثبت نام در ثبت ممکن است به منزله عدم ارائه اطلاعات به مرجع نظارتی تلقی شود. مجازات برای این در پیش بینی شده است ماده 19.7 قانون تخلفات اداری فدراسیون روسیه. بر اساس آن، مقامات با جریمه 300 تا 500 روبل و اشخاص حقوقی - از 3000 تا 5000 روبل روبرو هستند.

از زمان تصویب قانون فدرال "در مورد داده های شخصی" در سال 2006، برخی از مفاد و مفاهیم آن هنوز برای کارکنان اپراتورها نامشخص است. ابهام ظاهری عبارت گاه به موضوع گمانه زنی برای تک تک شهروندان فعال تبدیل می شود که هدف خود را اثبات پوچی یا مغایرت قانون قرار داده اند.

برخی از تحلیلگران با دستکاری برخی از فرمول‌بندی‌های قانون (گاهی خارج از متن)، با تکیه بر اصول منطق صوری (در مورد قانون به‌عنوان علم همیشه منصفانه نیست)، مدل‌سازی تعارضات احتمالی، به نتایج غیرمنتظره و نادرستی می‌رسند.

خطر این نتیجه گیری در عدم جهت گیری شرکت کنندگان در روابط حقوقی اطلاعات و همچنین در این واقعیت نهفته است که اتخاذ اظهارات مشکوک مانع از کار اپراتورها برای مطابقت دادن فعالیت های خود با قانون می شود و شرایطی را برای آنها ایجاد می کند تا قوانین را نقض کنند. الزامات قانون

چنین مسائل مشکل ساز شامل تعریف اپراتور داده های شخصی است. اپراتور یک نهاد ایالتی، شهرداری، شخص حقوقی یا فردی است که پردازش داده های شخصی را سازماندهی و (یا) انجام می دهد و همچنین اهداف و محتوای پردازش داده های شخصی را تعیین می کند (ماده 3 قانون فدرال 152). . این تعریف به ظاهر بدیهی که اجازه تفسیر آزاد را نمی دهد، گاهی اپراتورها را در عمل گمراه می کند. ماهیت این تصور غلط به شرح زیر است: "فردی که پردازش را انجام می دهد همیشه اپراتور نیست." دلیل این تصور غلط در عبارت «و نیز» است. در این «و همچنین»، برخی به ذره‌ای از حقیقت می‌بینند که به اپراتورهای فردی اجازه می‌دهد از الزام به رعایت الزامات قانون فدرال 152 اجتناب کنند. به طور متناقض، بسیاری از اپراتورها هنوز مطمئن هستند که اپراتور نیستند. برای اثبات این بیانیه، استدلال های زیر ارائه می شود: نیاز به پردازش داده های شخصی توسط قانون فدرال (یا "تاسیس شده توسط سازمان های بالاتر") تعیین می شود، بنابراین، اهداف پردازش به طور مستقل تعیین نمی شود یا نباید توسط شخص تعیین شود. انجام پردازش (نیازی به تعیین اهداف نیست یا هیچ مرجعی وجود ندارد).

بیایید سعی کنیم این مشکل را کشف کنیم که ماهیت آن در این سؤال نهفته است: آیا تعیین هدف پردازش داده های شخصی نشانه یا مسئولیت اپراتور است؟

بنابراین، این نظر وجود دارد که اپراتور فقط و منحصراً کسی است که به طور همزمان دو معیار زیر را برآورده می کند:
این شخص باید پردازش داده های شخصی را سازماندهی کند یا در واقع انجام دهد (یا هر دو را همزمان).
این شخص باید به طور مستقل اهداف و محتوای پردازش داده های شخصی را تعیین کند.

بنابراین، الزام به تعیین هدف پردازش داده های شخصی به عنوان ویژگی اصلی اپراتور در نظر گرفته می شود.

در جریان تهیه این مقاله، فیلسوفان به تحلیل زبانی تعریف مورد نظر پرداختند. نتایج تجزیه و تحلیل در زیر نشان داده شده است.

تعیین هدف نمی تواند تابع اصلی باشد، زیرا این تابع در بین اعضای همگن جمله نامیده می شود و آن را می بندد. علاوه بر این، این عضو همگن جمله با حرف ربط "و همچنین" ملحق می شود که به معنای اضافه است، به عنوان مثال: من با آرامش از کار، موفقیت، شکوه و همچنین کارهای و موفقیت های دوستانم لذت بردم. - رجوع کنید به Valgina N.S., Rosenthal D.E., Fomina M.N. زبان روسی مدرن. کتاب درسی: M., Logos, 2006.

دستور زبان روسی نیز در این باره می نویسد (م، 1980، ج دوم):

§ 2079. روابط پیوندی مبتنی بر روابط پیوندی است: عضو دوم مجموعه ماهیت اضافی دارد. اغلب به یک نحو جداگانه جدا می شود. ترتیب اعضای سریال به شدت الزامی است. روابط پیوندی (با سایه های اضافه یا تشدید) با حروف ربط مرکب و ترکیبات ربط با بتن ساز بیان می شود: و همچنین، و همچنین، و علاوه بر این (علاوه بر این): یک خانم مسن در کالسکه نشسته بود و حتی یک دختر جوان. (Tyn.)؛ گزارش ها با نظم کامل و به موقع (گاز) تحویل داده شد.

توجه داشته باشید. حروف ربط و همچنین، هر دو... و توانایی بیان روابط تدریجی و پیوندی را دارند، اما اغلب به معنای گسترده‌تر استفاده می‌شوند - پیوندی یا مقایسه‌ای: این لوچ به‌طور غیرمعمولی محترمانه و محبت‌آمیز است، هم به خود و هم به غریبه‌ها به یک اندازه مهربانانه نگاه می‌کند. اما از اعتبار استفاده نمی کند (چکی)؛ این کارخانه به سطوح بالایی از نظر کمیت و کیفیت محصولات (گاز) دست یافته است. دانش آموزان مدرسه موسیقی اغلب در مدارس، مراکز فرهنگی و همچنین در کارگاه های شرکت ها (گاز) کنسرت برگزار می کنند.

اما حروف ربط "و (یا)" که با هم نشان داده شده اند، به این معنی است که اعضای یک سری همگن که توسط آنها به هم متصل شده اند می توانند با هم همزیستی داشته باشند ("سازماندهی و انجام پردازش") یا انتخاب شوند (یکی از سری ها: "سازماندهی یا حمل" در حال پردازش»).

تجزیه و تحلیل زبانی فوق بی اساس بودن این بیانیه را نشان می دهد که تعیین هدف پردازش داده های شخصی یکی از ویژگی های ضروری اپراتور است. در عین حال، این تحلیل تنها دلیل بر نادرستی این گفته نیست.

از محتوای انواع مختلف نشریات و بر اساس رویه اجرای قانون در حال ظهور، می توان در مورد نگرش نهاد مجاز برای حمایت از حقوق افراد داده های شخصی (که از این پس به عنوان Roskomnadzor نامیده می شود) به مشکل مورد بررسی نتیجه گیری کرد. . Roskomnadzor معتقد است که اپراتور کسی است که اول از همه، هرگونه عملیات را با داده های شخصی انجام می دهد. در عین حال، به دلیل واقعیت پردازش، «پردازنده» نیز موظف است اهداف چنین پردازشی را تعیین کند. آن ها در واقع، تعیین هدف پردازش به احتمال زیاد نتیجه پردازش یا نیاز به چنین جزء جدایی ناپذیر پردازش است، مسئولیت اصلی ناشی از پردازش داده‌های شخصی، و نه «ویژگی اصلی اپراتور».

عادلانه بودن نظر بیان شده با تجزیه و تحلیل سیستماتیک هنجارهای قانون فدرال شماره 152 تأیید می شود. ما باید با ماده 1 قانون شروع کنیم که دامنه عمل آن را مشخص می کند. این ماده بیان می‌کند که قانون روابط مربوط به پردازش داده‌های شخصی را که توسط ارگان‌ها، اشخاص حقوقی و افراد مختلف انجام می‌شود، تنظیم می‌کند. مفهوم پردازش در بند 3 ماده 3 قانون فدرال 152 آمده است. این اقدامات (عملیات) با داده های شخصی از جمله جمع آوری، سیستم سازی، انباشت، ذخیره سازی، شفاف سازی (به روز رسانی، تغییر)، استفاده، توزیع (از جمله انتقال) است. ، غیر شخصی سازی ، مسدود کردن ، از بین بردن داده های شخصی. از مطالب فوق چنین نتیجه می شود که اگر شخص خاصی هر یک از اقدامات ذکر شده را انجام دهد، پیش از این در روابط اجتماعی که موضوع تنظیم قانون فدرال شماره 152 است شرکت می کند (مگر اینکه تحت استثنائات مقرر در قانون قرار گیرد. قسمت 2 ماده 1 قانون). چگونه باید این شخص را از نظر قانون فدرال "در مورد داده های شخصی" نامید؟ انتخاب کوچک است. این شخص باید اپراتور نامیده شود.

بنابراین، یک شخص خاص پردازش داده های شخصی را انجام می دهد (یا قصد دارد انجام دهد). طبق ماده 5 قانون فدرال 152، پردازش PD باید مطابق با اصول تعریف شده توسط قانون انجام شود. تجزیه و تحلیل محتوای اصول منجر به این نتیجه می شود که اساس اساسی برای پردازش داده های شخصی تعیین اهداف پردازش است. حتی بدون کنکاش در اصل هر اصل، بلکه صرفاً با خواندن سریع ماده 5، در هر پاراگراف مقاله اصطلاح «هدف» («مشروعیت اهداف»، «تطابق با اهداف»، «کفایت برای اهداف» را می‌بینیم. "، و غیره.). این تمرکز توجه توسط قانونگذار به طور تصادفی اعمال نشده است. قانون، شخصی را که داده‌های شخصی را پردازش می‌کند، ملزم می‌کند که اهداف پردازش موضوعات داده‌های شخصی را به سازمانی که مجاز به محافظت از حقوق افراد سوژه داده‌های شخصی است، اطلاع دهد. این قانون تلاش می کند تا فعالیت های مربوط به پردازش داده های شخصی را برای شخص - دارنده حقوق و آزادی های قانون اساسی مورد حمایت قانون و همچنین برای نهادهای دولتی که از اجرای مکانیسم هایی برای حمایت از حقوق بشر به عنوان موضوع اطمینان می دهند، شفاف و قابل درک کند. از داده های شخصی موضوع اصلی در قانون ایده غیرقابل قبول بودن پردازش "بی هدف" داده های شخصی است (پردازش داده های شخصی "درست مانند آن" ، "برای نیازهای نامشخص خود" ، برای "توسعه عمومی" ، "برای خود". "، و غیره.).

بر اساس اصل دوم، اعلام شده در ماده 5 قانون، در صورتی که شخصی قصد پردازش داده های شخصی را داشته باشد، باید اهداف این پردازش از قبل (قبل از شروع پردازش) تعیین و بیان شود. زنجیره منطقی معکوس استدلال منجر به این نتیجه می شود که انجام هرگونه اقدام با داده های شخصی در صورت عدم وجود هدف خاصی برای پردازش، نقض اصول پردازش است و بنابراین، نقض قانون، پیش نیاز نقض است. حقوق و آزادی های قانون اساسی انسان و شهروند.

تفسیر هنجار مندرج در بند 2. ماده 3 قانون فدرال 152 در این زمینه که تعیین هدف بر عهده اپراتور نیست، بلکه ویژگی جدایی ناپذیری است که او را به عنوان چنین معرفی می کند، ناگزیر نتیجه متناقض زیر را به دنبال دارد. نهادهایی مانند صندوق بازنشستگی فدراسیون روسیه، صندوق بیمه پزشکی اجباری، خدمات مالیاتی فدرال، خدمات مهاجرت فدرال و بسیاری از سازمان های دولتی دیگر از شمول قانون مستثنی شده اند، که مسئولیت های آنها به طور مستقیم توسط قانون فدرال تعریف و شرح داده شده است. ، از جمله در زمینه معاملات با داده های شخصی. . فرض مورد بررسی همچنین منجر به این نتیجه می شود که اپراتورهای مخابراتی اپراتورهای PD نیستند، زیرا هدف از جمع آوری PD مشترکین در قانون "در مورد ارتباطات" و آیین نامه ها پیش بینی شده است - یعنی. توسط دولت تعیین می شود و نه توسط شخص خاصی که خدمات ارتباطی ارائه می دهد. همین امر در مورد مؤسسات اعتباری، بیمه و سایر سازمان‌هایی که به منظور مبارزه با قانونی‌سازی (پولشویی) عواید ناشی از جرم، جمع‌آوری و اقدامات دیگری را با داده‌های شخصی جمع‌آوری و انجام می‌دهند. برای اهدافی که مستقیماً توسط قانون "مبارزه با قانونی سازی (پولشویی) عواید ناشی از جرم" پیش بینی شده است و نه توسط خود این سازمان ها. این فهرست را می‌توان بی‌پایان ادامه داد و تنها یک هنجار از قانون را مطلق جلوه داد و در تلاش برای تلاش برای تفسیر تحت اللفظی آن از روابط اجتماعی واقعی، به نقطه پوچی رسید.

ماده 18 قانون فدرال شماره 152 مسئولیت های اپراتور را در هنگام جمع آوری داده های شخصی تعیین می کند. اینها، اول از همه، تعهد اپراتور به ارائه اطلاعات شخصی به درخواست وی (ماده 14 قانون فدرال 152)، از جمله اطلاعات در مورد اهداف پردازش داده های شخصی وی است. هنگام ایجاد این تعهد، قانون استثنایی برای اپراتورهایی که داده های شخصی را بر اساس قوانین فدرال پردازش می کنند، قائل نیست.

بنابراین، با در نظر گرفتن موارد فوق، روشن می شود که در چارچوب قانون، تعیین هدف پردازش PD در واقع به عهده شخص پردازش کننده PD است نه یکی از ویژگی هایی که دارا بودن آن باعث می شود این شخص اپراتور.

"تعریف" هدف چیست؟ درک معنای کلمه "تعریف" برای درک محتوای یک قانون مهم است که بدون آن اجرای این قاعده غیرممکن است. از آنجایی که قانونگذار افشای مفهوم "تعیین هدف" را در خود قانون ضروری ندانست، اجازه دهید به یکی از روش های تفسیر شناخته شده در نظریه حقوق - تفسیر لغوی (زبانی) بپردازیم.

طبق فرهنگ لغت توضیحی زبان روسی ویرایش شده توسط پروفسور. D.N.Ushakova برای تعیین وسیله
با دقت دریابید، اطلاع دهید.
ارائه یک توصیف علمی، منطقی، فرمول بندی یک مفهوم، آشکار کردن محتوای آن.
تصمیم گیری، تصمیم گیری در مورد چیزی؛
به عنوان دلیلی برای توسعه، شکل گیری چیزی، از پیش تعیین شده، شرط خدمت کنید.
اختصاص دادن، نشان دادن.

بنابراین، با تعیین هدف پردازش PD می‌توان به شفاف‌سازی، انتخاب، جداسازی آن از انواع اهداف احتمالی، تنظیم یا تعیین آن به این صورت پی برد که این هدف خاص (اهداف) را به عنوان دلیل پردازش PD نشان می‌دهد.

تجزیه و تحلیل متنی محتوای قانون فدرال 152، شناسایی ارتباطات معنایی آن با سایر منابع قانون به ما این امکان را می دهد که به این نتیجه برسیم که برای اپراتورهای فردی PD و (یا) در مورد دسته های خاصی از موضوعات PD، اهداف پردازش PD در واقع می تواند از پیش تعیین شود یا حتی به طور مستقیم در قوانین یا مقررات مشخص شده است (مثلاً قانون کار به طور خاص اهداف پردازش اطلاعات شخصی کارکنان را به کارفرمایان نشان می دهد). هدف از پردازش PD خاص توسط سایر اپراتورها از تعهدات ناشی از تعهدات قراردادی ناشی می شود. در برخی موارد، اهداف پردازش داده های شخصی ممکن است به طور همزمان توسط محتوای فعالیت های تجاری اپراتور و الزامات قانون تعیین شود (اپراتورهای ارتباطی، به منظور انجام فعالیت های قانونی خود با هدف کسب سود، پردازش شخصی را انجام می دهند. داده ها به منظور ارائه خدمات ارتباطی و در اجرای قانون "ارتباطات").

بنابراین ، وظیفه اصلی شخصی که داده های شخصی را پردازش می کند دقیقاً بیان اهداف پردازش داده های شخصی است تا خودش بفهمد که دقیقاً چه چیزی پردازش داده های شخصی افراد را به طور خاص برای او تعیین می کند. فرمول بندی پاسخ به این سوال در واقع تعریف هدف پردازش PD خواهد بود.

در زمینه مشکل مورد بحث در این مقاله، نظر دولت فدراسیون روسیه در مورد اصلاحات قانون فدرال 152 جالب به نظر می رسد. در 5 مه 2010، لایحه ای که توسط معاون آن V.M. Reznik به دومای ایالتی ارائه شد به تصویب رسید. در اولین قرائت از جمله، این لایحه فرمول جدیدی از مفهوم "اپراتور" را پیشنهاد می کند، یعنی:

اپراتور یک نهاد دولتی، ارگان شهرداری، شخص حقوقی یا شخصی است که داده های شخصی را پردازش می کند و همچنین اهداف، محتوا و روش پردازش داده های شخصی را تعیین می کند. همانطور که می بینیم، کلمه "سازماندهی" از فرمول فعلی حذف شده است. در پاسخ رسمی خود به این لایحه، دولت فدراسیون روسیه نشان می دهد که "چنین تغییری قابل پشتیبانی نیست، زیرا افرادی که داده های شخصی را پردازش می کنند، اما اهداف و محتوای پردازش را تعیین نمی کنند، نمی توانند اپراتور در نظر گرفته شوند." از اظهار نظر فوق دولت فدراسیون روسیه چنین بر می آید که امروزه (زمانی که متن قانون هنوز تغییر نکرده است) ، از نظر دولت فدراسیون روسیه ، اپراتور هر شخصی است که داده های شخصی را پردازش می کند. صرف نظر از وجود یا عدم وجود این واقعیت که او اهداف چنین پردازشی را تعیین کرده است.

بنابراین، تجزیه و تحلیل انجام شده در این مقاله به ما امکان می دهد چندین نتیجه گیری کنیم.
تعیین هدف پردازش PD بر عهده اپراتور است و یک ویژگی شناسایی اجباری اپراتور نیست.
تعیین هدف پردازش PD، فرآیند درک، شفاف سازی، مشخص کردن و شفاهی هدف پردازش PD توسط اپراتور است، از جمله در مواردی که چنین اهدافی از پیش تعیین شده و (یا) ناشی از مقررات قانون یا اختیارات مربوط به آن است. اپراتور.