Nedarbingumo atostogos

Šie atvejai gali būti. Ar privalome pateikti visų darbuotojų asmens duomenis? Kas gali pateikti asmeninę informaciją

26.05.2019

Klaidinga nuomonė, kad su asmens duomenimis dirba tik mobiliojo ryšio operatoriai ir bankai. Iš tikrųjų taip nėra. Bet kuri įmonė tvarko bent savo darbuotojų, taip pat rangovų, klientų, biuro lankytojų ir kt. asmens duomenis. Šiame straipsnyje paaiškinome, kas yra asmens duomenys ir kaip tinkamai juos tvarkyti. Skaitykite ir nepažeiskite įstatymų – nuo ​​liepos 1 dienos baudos įmonėms padidės septynis kartus.

Kiekviena įmonė dirba su asmens duomenimis, tačiau ne kiekvienas teisininkas žino, kas yra asmens duomenys ir kaip juos teisingai tvarkyti. Jei iki 2017 metų liepos 1 dienos dar nebuvo taip baisu – baudos už pažeidimus buvo nedidelės, tačiau dabar situacija pasikeitė. Nuo šios datos įsigalioja Rusijos Federacijos administracinių nusižengimų kodekso pakeitimai, kuriais didinamos baudos įmonėms už pažeidimus tvarkant asmens duomenis ir įvedami 7 nauji pažeidimai (2017 m. vasario 7 d. federalinis įstatymas Nr. 13-FZ ). Baudas mokės ne tik įmonės, bet ir įstatymus pažeidę darbuotojai – tarp jų ir teisininkai. Nusprendėme padėti jums nepažeisti įstatymų ir pakalbėjome apie kiekvienoje įmonėje taikomus asmens duomenų tvarkymo pagrindus.

Kokia informacija yra asmens duomenys

Asmens duomenys – tai bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu ar identifikuojamu dalyku asmeniui(2006 m. liepos 27 d. Federalinio įstatymo Nr. 152-FZ „Dėl asmens duomenų“ 1 straipsnis, 3 straipsnis; toliau – Įstatymas Nr. 152-FZ). Tiksliau, tokios informacijos sąrašas yra apibrėžtas 1997 m. kovo 6 d. Rusijos Federacijos prezidento dekrete Nr. 188 „Dėl konfidencialios informacijos sąrašo patvirtinimo“: tai informacija apie Rusijos Federacijos prezidento faktus, įvykius ir aplinkybes. piliečio privatus gyvenimas, leidžiantis nustatyti jo tapatybę, išskyrus žiniasklaidoje skleidžiamą informaciją tais atvejais įstatyminis.

Darbe teisinės ir personalo paslaugosįmonių tvarkomi asmens duomenys paprastai apima šią informaciją apie asmenį:

  • Pilnas vardas;
  • gimimo metai, mėnuo, data ir vieta;
  • adresas;
  • šeimyninė, socialinė, turtinė padėtis;
  • išsilavinimas, profesija, pareigos, pajamos;
  • biometrinius asmens duomenis.

Teismų praktika plečia asmens duomenų sąrašą. Pavyzdžiui, teismai asmens duomenimis pripažino:

  • informacija apie piliečio mirtį (Volgos apygardos arbitražo teismo 2014 m. rugsėjo 25 d. nutartis byloje Nr. A49-2005/2014);
  • kambarys Mobilusis telefonas (apeliacine tvarka Altajaus apygardos teismas 13-10-01 byloje Nr.33-9241/2015);
  • piliečio nuotraukos (skundžiamas Sverdlovskio nutarimas apygardos teismas 2015-04-09 byloje Nr.33-5232/2015).

AT paskutiniais laikais pastebima aiški tendencija – asmeninius duomenis sudarančios informacijos sąrašas tampa vis platesnis. Taigi, Europos teismas teisingumas 2016-10-19 sprendime byloje Nr. 582/14 (Patrick Breir prieš Vokietiją) pripažino, kad kai tam tikromis sąlygomis net interneto vartotojo IP adresas gali būti laikomas asmens duomenimis.

Kas yra asmens duomenų tvarkymas

Asmens duomenų tvarkymas – tai bet koks veiksmas su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, išaiškinimą (atnaujinimą, keitimą), ištraukimą, naudojimą, perdavimą (platinimą, teikimą, prieigą), nuasmeninimą, blokavimą, ištrynimą ir sunaikinimą ( Įstatymo Nr. 152-FZ 3 straipsnio 3 punktas).

Pavyzdžiui, įmonė tvarko asmens duomenis, jei renka klientų klausimynus (in popierine forma arba per svetainę), prižiūri ir saugo klientų bazę, perduoda klientų kontaktus į skambučių centrą, fiksuoja biuro lankytojų pasų duomenis patikros punkte ir kt. Iš tikrųjų bet kuri įmonė tvarko asmens duomenis.

Nota bene!
Papildomas pretendentų ir darbuotojų asmens duomenų tvarkymo sąlygas nustato Ch. Rusijos Federacijos darbo kodekso 14 str. ir 2012 m. gruodžio 14 d. „Roskomnadzor“ išaiškinimai „Darbuotojų, darbo ieškančių asmenų asmens duomenų tvarkymo problemos laisvų darbo vietų, taip pat personalo rezerve esantys asmenys.

Kada pranešti „Roskomnadzor“.

Jei įmonė tvarko asmens duomenis, tai yra operatorius (Įstatymo Nr. 152-FZ 2 straipsnis, 3 straipsnis). Operatorius, prieš pradėdamas tvarkyti asmens duomenis, privalo pranešti Roskomnadzor apie savo ketinimą (Įstatymo Nr. 152-FZ 1 straipsnis, 22 straipsnis).

Nereikalaujama siųsti pranešimo (Įstatymo Nr. 152-FZ 2 straipsnis, 22 straipsnis), jei veiklą vykdanti įmonė tvarko asmens duomenis, visų pirma:

  • tik jų darbuotojai;
  • sutarčių sudarymo ir vykdymo tikslais (pavyzdžiui, sandorio šalių asmens duomenys);
  • už vienkartinį asmens leidimą į įmonės teritoriją;
  • nenaudojant automatizavimo priemonių (asmens duomenys naudojami, tikslinami, platinami ir naikinami asmeniui tiesiogiai dalyvaujant – žr. Rusijos Federacijos Vyriausybės 2008 m. rugsėjo 15 d. dekretą Nr. 687).

Patikrinkite, ar įmonei taikomos Įstatyme Nr. 152-FZ nurodytos išimtys. Jei ne, pateikite pranešimą. oficiali uniforma(Priedas Nr. 2 prie administraciniai nuostatai, patvirtintas Rusijos telekomunikacijų ir masinių ryšių ministerijos 2011 m. gruodžio 21 d. įsakymas Nr. 346). Tada nusiųskite į teritorinė valdžia„Roskomnadzor“ įmonės registracijos vietoje. Pranešimą galite siųsti tiek popieriuje, tiek formoje elektroninis dokumentas per Gosuslugi portalą (gosuslugi.ru) arba oficialią Roskomnadzor svetainę (pd.rkn.gov.ru/).

„Roskomnadzor“ informaciją apie įmonę įtrauks į operatorių registrą per 30 dienų nuo pranešimo gavimo dienos. Patikrinti, ar įmonė įtraukta į registrą, galite oficialioje departamento svetainėje (pd.rkn.gov.ru/).

Kaip tinkamai rinkti asmens duomenis

Autorius Pagrindinė taisyklė norėdami rinkti asmens duomenis, turite gauti jų savininko – asmens duomenų subjekto – sutikimą (Įstatymo Nr. 152-FZ 1 punktas, 1 punktas, 6 straipsnis). Sutikimas turi būti konkretus, informuotas ir sąmoningas (Įstatymo Nr. 152-FZ 1 straipsnis, 9 straipsnis). Tai reiškia, kad asmens duomenų tvarkymo pagrindų sąrašas turėtų būti nurodytas kuo konkrečiau, taip pat turi būti nurodytas tvarkymo laikas ir sutikimo atšaukimo tvarka (CA sprendimas Uralo rajonas 2014 m. rugsėjo 29 d. byloje Nr. А60-31459/2013, Penktojo AAC 2014 m. rugpjūčio 13 d. sprendimas byloje Nr. А59-48/2014).

Įstatymas nenustato sutikimo tvarkyti asmens duomenis formos, išskyrus speciali informacija. Subjektas gali duoti sutikimą bet kokia forma, patvirtinančia jo gavimo faktą (Įstatymo Nr. 152-FZ 1 straipsnis, 9 straipsnis). Visų pirma sutikimas gali būti išreikštas elektronine forma internetinėje svetainėje užpildžius anketą (Šiaurės vakarų apygardos federalinės antimonopolinės tarnybos 2010 m. gruodžio 13 d. potvarkis byloje Nr. A56-73636 / 2009, Omsko apygardos teismo 2013 m. rugpjūčio 7 d. bylos Nr.33-5139 / 2013).

IŠNAŠA
Tvarkyti reikalingas rašytinis subjekto sutikimas specialios kategorijos asmens duomenys – pavyzdžiui, apie asmens pilietybę ir sveikatos būklę (Įstatymo Nr. 152-FZ 10 straipsnis). Sutikimą galima gauti popieriuje arba elektronine forma su sustiprintu kvalifikuotu elektroniniu parašu.

Gaukite sutikimą tvarkyti Standartinė forma sutartis yra rizikinga, jei sutikimo sąlyga yra tiesiog įtraukta į tekstą. Teismas gali pripažinti šį būdą netinkamu, jeigu vartotojas negali pakeisti šios sąlygos – pavyzdžiui, pažymėti savo sutikimą ar atsisakymą (Šiaurės vakarų apygardos arbitražo teismo 2016 m. liepos 18 d. nutartis byloje Nr. A44- 9647 / 2015, Uralo apygardos arbitražo teismo gruodžio 22 d. .16 nutartis byloje Nr. А76-5164/2016).

Audito ar bylinėjimosi atveju operatorius privalo įrodyti, kad jis gaus sutikimą tvarkyti asmens duomenis (Įstatymo Nr. 152-FZ 3 straipsnis, 9 straipsnis). Todėl iš anksto nustatykite, kokio tipo asmens duomenis tvarko jūsų įmonė. Atsižvelgdami į tai, sukurkite sutikimo tvarkyti formą. Svarbus punktas- subjektas turi teisę bet kada atšaukti savo sutikimą (Įstatymo Nr. 152-FZ 2 straipsnis, 9 straipsnis). Jei įmonė gavo tokį kreipimąsi, ji privalo nutraukti asmens duomenų tvarkymą.

Nota bene!
Sutikimas tvarkyti asmens duomenis nereikalingas, jei pats subjektas juos paskelbė viešai. Pavyzdžiui, registruojantis forume ar socialiniame tinkle. Jeigu subjektas vėliau atšaukia sutikimą tvarkyti, į jį galima nepaisyti (Įstatymo 10 str. 1 d., 6 str. 2 d., 2 p., 10 str.).

Kaip gauti darbuotojo sutikimą

Darbuotojai turi būti pasirašytinai supažindinti su įmonės dokumentais, nustatančiais asmens duomenų tvarkymo tvarką, taip pat jų teises ir pareigas šioje srityje (Rusijos Federacijos darbo kodekso 86 str. 8 punktas). Tokia tvarka gali būti nustatyta pačioje darbo sutartyje, jos prieduose, vidaus tvarkos taisyklėse darbo grafikas ar kiti vietiniai aktai- pavyzdžiui, įmonės asmens duomenų tvarkymo politika. Darbuotojų supažindinimo su šiais dokumentais faktas turi būti užfiksuotas atskirai – pavyzdžiui, specialiame žurnale.

IŠNAŠA
Už pažeidimus tvarkant darbuotojų asmens duomenis įmonė gali būti patraukta atsakomybėn pagal BK str. Rusijos Federacijos administracinių nusižengimų kodekso 5.27 p. (bauda iki 80 tūkst. rublių).

Darbuotojo sutikimas dėl asmens duomenų tvarkymo nereikalingas toliau nurodytais atvejais(žr. 2012-12-14 Roskomnadzor paaiškinimus „Darbuotojų, darbo ieškančių asmenų asmens duomenų tvarkymo problemos...“):

  • darbuotojo artimų giminaičių asmens duomenų tvarkymas tiek, kiek numatyta asmenine kortele T-2 pavidalu;
  • gavęs motyvuotus prašymus iš prokuratūros, teisėsauga, saugumo agentūros, valstybiniai darbo inspektoriai;
  • tvarkymas reikalingas su darbuotoju sudarytai sutarčiai arba darbdaviui priskirtiems įsipareigojimams vykdyti;
  • apdorojimas yra susijęs su darbuotojo atlikimu jo Darbo pareigos, įskaitant siunčiant jį į komandiruotes.

Kaip užtikrinti asmens duomenų saugumą

Asmens duomenys reiškia Konfidenciali informacija(Įstatymo Nr. 152-FZ 7 straipsnis). Operatoriai ir kiti asmenys, gavę prieigą prie jų, yra įpareigoti neatskleisti asmens duomenų trečiosioms šalims ir neplatinti asmens duomenų be subjekto sutikimo. Operatorius privalo užtikrinti asmens duomenų saugumą. Priemonės priklauso nuo to, kaip duomenys apdorojami – naudojant automatizavimo įrankius ar rankiniu būdu.

Jeigu įmonė atlieka automatizuotą asmens duomenų tvarkymą, jai taikomi Asmens duomenų apsaugos jų tvarkymo metu reikalavimai. Informacinės sistemos, patvirtintas 2012 m. lapkričio 1 d. Rusijos Federacijos Vyriausybės dekretas Nr. 1119 ir įsakymas Rusijos FSTEC 2013 m. vasario 18 d. Nr. 21. Šiems reikalavimams įvykdyti būtina pasitelkti IT specialistus.

Siekiant apsaugoti asmens duomenis be automatizavimo, numatytos rekomendacinės priemonės (Įstatymo Nr. 152-FZ 19 straipsnis ir Reglamento 13-15 punktai, patvirtinti Rusijos Federacijos Vyriausybės 2008 m. rugsėjo 15 d. dekretu Nr. 687). Viena iš šių priemonių yra nustatyti vidaus dokumentaiįmonių sąrašą asmenų, kurie tvarko asmens duomenis arba turi prieigą prie jų. Duomenų saugumas gali būti užtikrinamas atskirai saugant asmens duomenų laikmenas, kurios tvarkomos skirtingais tikslais (pavyzdžiui, atskirai saugomi darbuotojų, biuro lankytojų ir klientų duomenys).

Kas ir kam gresia už pažeidimus asmens duomenų srityje

Už pažeidimus tvarkant asmens duomenis įmonė gali būti patraukta baudžiamojon atsakomybėn ir administracinė atsakomybė pagal str. Rusijos Federacijos administracinių nusižengimų kodekso 13.11 str. Iki 2017 m. liepos 1 d maksimali bauda dėl pareigūnas buvo skirta 1000 rublių bauda, ​​o įmonei - iki 10 000 rublių.

Nuo 2017 m. liepos 1 d. įsigalioja administracinę atsakomybę sustiprinantys pakeitimai (2017 m. vasario 7 d. federalinis įstatymas Nr. 13-FZ). Pakeitimais įvedami papildomi nusikaltimų elementai 1 str. Rusijos Federacijos administracinių nusižengimų kodekso 13.11 ir padidinti baudas. Visų pirma, įstatymas nustato juridinių asmenų atsakomybę už šiuos pažeidimus:

  • asmens duomenų tvarkymas tais atvejais, kai nėra įstatyminis(Rusijos Federacijos administracinių nusižengimų kodekso 13.11 straipsnio 1 dalis) - bauda nuo 30 tūkstančių iki 50 tūkstančių rublių;
  • asmens duomenų tvarkymas be sutikimo rašymas kai įstatymai reikalauja gauti tokį sutikimą (Rusijos Federacijos administracinių nusižengimų kodekso 13.11 straipsnio 2 dalis) - bauda nuo 15 iki 70 tūkstančių rublių;
  • asmens duomenų tvarkymo politikos nepaskelbimas, kai tokią pareigą numato įstatymas (Rusijos Federacijos administracinių nusižengimų kodekso 13.11 straipsnio 3 dalis) - bauda nuo 15 iki 30 tūkst. rublių.

Darbuotojas gali būti patrauktas administracinėn atsakomybėn, bet ne tik. Be to, jam taikoma materialinė (Rusijos Federacijos darbo kodekso 243 straipsnio 7 punktas) drausminė nuobauda (Rusijos Federacijos darbo kodekso 81 straipsnio 1 dalies 6 punkto "c" punktas) ir net baudžiamoji atsakomybė(Rusijos Federacijos baudžiamojo kodekso 137 straipsnio 2 dalis).

Atsakomybėn bus traukiamas tiek pažeidęs darbuotojas (pavyzdžiui, nukopijavęs klientų duomenų bazę į savo „flash“ diską ir perdavęs ją konkurentui), ir darbuotojas, atsakingas už asmens duomenų tvarkymą įmonėje.

Pavyzdžiui, mergina sukūrė forumą nėščiosioms, kad vėliau galėtų ten patalpinti skelbimus. Registruodamiesi dalyviai pateikia informaciją apie save. Ši mergina yra asmens duomenų operatorė. Ji gauna informaciją apie kitus žmones ir ką nors daro su šiais duomenimis: sistemina pagal amžių ir pomėgius, tikrina vartotojų aktyvumą, naudoja adresų sąrašams, kvietimams arba tiesiog išsaugo.

Bet kuris iš šių veiksmų yra asmens duomenų tvarkymas. Kiekvienas, kuris atlieka šį veiksmą, yra operatorius.

Turiu draugų el. pašto adresus, telefono kontaktus, įvairių žmonių paskyras socialiniuose tinkluose. Pasirodo, aš taip pat esu operatorius ir turiu gauti šių žmonių sutikimą saugoti ir ištrinti jų duomenis?

Ne, tokiais atvejais sutikimo nereikia. Įstatymas neapima asmens duomenų, kurie tvarkomi asmeniniams ir šeimos poreikiams tenkinti. Tai gali būti reikiamų žmonių kontaktai telefonų knygoje, kolegų ir partnerių vizitinės kortelės, draugų profiliai feisbuke.

Ar atsiliepimų formai taip pat taikomas įstatymas?

Jei žmogus gali įvesti savo asmens duomenis, tada taip, jis ten patenka.

Įstatyme nėra išimčių dėl asmens duomenų rinkimo formos ir būdo. Ir nėra aišku, kas tiksliai yra kolekcija. Telekomunikacijų ir masinių komunikacijų ministerija mano, kad rinkimas yra tam tikra dokumentuota procedūra norint gauti duomenis apie asmenį. Tinka atsiliepimo forma pagal šį apibrėžimą.

Pati grįžtamojo ryšio forma nepatenka į įstatymą vien todėl, kad ji egzistuoja. Svarbu, kokius duomenis lankytojas perduoda per šią formą, ar galima tiesiogiai ar netiesiogiai nustatyti asmens tapatybę ir jam pakenkti nutekėjimo ir platinimo atveju.

Jeigu svetainės lankytojas formoje nurodo savo vardą, pavardę, telefono numerį ir el.paštą, tai yra asmens duomenys. Asmuo, kuris gauna, tvarko ir saugo šiuos duomenis, yra laikomas asmens duomenų valdytoju ir privalo laikytis įstatymų.

O jei gaunate tik vardą be pavardės ir telefono numerio, ar tai irgi patenka į asmens duomenis? O jei tai tik telefono numeris?

Pagal įstatymus asmens duomenys yra bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra tiesiogiai ar netiesiogiai nustatyta arba kurio tapatybė gali būti nustatyta. Šis apibrėžimas nieko neduoda ir nepaaiškina.

Žodžiu, bet kas gali būti laikoma asmens duomenimis. Teisininkai dėl to ginčijasi daugelį metų.

Telekomunikacijų ir masinių komunikacijų ministerija konkretumo nepateikia ir sako taip: tiksliau nustatyti asmens duomenų sudėtį, įskaitant jų sąrašą, atrodo nerealu. Kitų padalinių aiškių paaiškinimų apie tai taip pat nėra.

Jei kils ginčas, ar paštas ar prisijungimas priklauso asmens duomenims, viską spręs teismas. Dėl asmens duomenų teismai jau yra priėmę keletą sprendimų. Iš jų išplaukia akivaizdu: vardas, pavardė, paso duomenys, adresas, telefonų numeriai, informacija apie šeimos narius, iš pensijų bylos ir darbo sutartis. Iš jų išplaukia neakivaizdu: TIN pats savaime nėra asmens duomenys, o duomenys apie sienos kirtimo faktą.

Pats prisijungimas nėra asmens duomenys. Pagal personažų rinkinį neįmanoma suprasti, koks jis žmogus ir net kokios lyties jis yra.

Bet jei žmogus įdeda savo tikrąją nuotrauką į avatarą arba registracijos metu nurodo paštą, kur varde bus jo pavardė su inicialais, o domeno pavadinime – įmonės pavadinimas, tai iš viso tai jau yra asmens duomenys.

Niekas iš tikrųjų nežino, kas yra asmens duomenys

Įstatyme nėra išimčių dėl svetainės temos, teisinės formos ir duomenų rinkinio.

Kad nerizikuotų, geriau tai padaryti.

Jei kokiu tikslu renkate informaciją apie kai kuriuos asmenis, turite įrašyti jų sutikimą ir parengti dokumentus. Jei tai bus padaryta dėl draudimo, net tada, kai tai nėra būtina, nieko baisaus nebus. Ir jei tai nebus padaryta, vartotojai ir „Roskomnadzor“ gali pareikšti pretenzijas.

Kuriu klientui svetainę, apdoroju ir kaupiu duomenis savo pusėje. Tuo pačiu metu svetainės savininkas neprivalo būti asmens duomenų valdytojas?

Svetainės savininkas privalo būti asmens duomenų valdytoju ir laikytis įstatymų. Pagal įstatymus galite rinkti asmens duomenis ir perduoti juos kam nors tvarkyti. Svetainės savininkas gali perduoti klientų duomenis žiniatinklio valdytojui, internetinė parduotuvė – pašto tarnybai.

Norėdami tai padaryti, svetainės savininkas turi gauti lankytojų leidimą ir paaiškinti, kam ir kodėl perduos jų duomenis.

Savininko atsakomybė

Tas, kuriam jis perduoda duomenis tvarkyti, neturėtų gauti atskiro leidimo, tačiau jis privalo laikytis įstatymų.

Svetainės savininkas bus atsakingas už tai, kad svetainės lankytojai laikytųsi įstatymų.

Svetainės „Roskomnadzor“ savininkas ir teismas nustatys duomenų visumą. Jei svetainėje yra informacijos apie konkretų juridinį asmenį ar individualų verslininką, jo bus paprašyta. Jei tokių duomenų nėra, jie paprašys domeno administratoriaus.

Ir kaip jie supras, kad aš kaupiu ir apdoroju duomenis, kad galėčiau skirti baudą? Būtent Rusijos duomenų centre galima surengti kaukių šou ir išsinešti serverį, bet užsienyje tokie numeriai neveikia.

„Roskomnadzor“ apie pažeidimus sužino dviem būdais:

  • jis atliks patikrinimą;
  • atsakyti į kažkieno skundą.

Jei „Roskomnadzor“ aptiks pažeidimų, svetainė gali būti užblokuota ir įmonei skirta bauda.

Pagal įstatymus operatoriai privalo saugoti asmens duomenis Rusijos serveriuose. Yra keletas išimčių, tačiau tai yra detalės. Bet kuri internetinė parduotuvė ar prenumeratos paslauga turi saugoti duomenų bazę su Rusijos piliečių asmens duomenimis.

Tada šiuos duomenis galėsite perkelti į užsienį. Tai legalu, bet tam tikromis sąlygomis. Priešingu atveju būtų neįmanoma užsisakyti viešbučių ir nusipirkti lėktuvo bilietų užsienyje.

„Roskomnadzor“ gali reikalauti patvirtinimo, kur saugomos duomenų bazės. Pavyzdžiui, sutartis su duomenų centru, priegloba arba dokumentai jūsų serveriui. Jei paaiškės, kad asmens duomenys saugomi su pažeidimais, o ne Rusijoje, kils problemų.

Be asmens duomenų įstatymo, yra ir reikalavimų Federalinė tarnyba techninės ir eksporto kontrolė ir FSB. Tyrime gali dalyvauti ir prokuratūra. Jie turi pakankamai įgaliojimų išsiaiškinti, kur iš tikrųjų saugomi duomenys, ir spręsti pažeidimus.

Ką daryti, jei mūsų svetainė yra anglų kalba?

Jei svetainė naudojama darbui Rusijos Federacijos teritorijoje, būtina laikytis asmens duomenų įstatymo. Teoriškai „Roskomnadzor“ turi teisę ir gali ją blokuoti.

Štai ženklai, naudojami tai suprasti:

  • domeno vardas yra susietas su Rusijos Federacija arba subjektu;
  • yra rusiška svetainės versija;
  • apmokėjimas už prekes ar paslaugas vyksta rubliais, pristatymas galimas Rusijos Federacijos teritorijoje;
  • svetainės turinio vartotojai yra rusai;
  • yra skelbimas rusų kalba, kuris veda į šią svetainę.

Jei yra bet koks šių veiksnių derinys, duomenų valdytojas privalo laikytis įstatymų, net jei taip užsienio įmonė. O tai reiškia, kad dokumentai turi būti prieinami ir suprantami Rusijos Federacijoje. Užtenka juos turėti rusiškai, kad „Roskomnadzor“ ir Rusijos piliečiai suprastų. Nerezidentams už šalies ribų mūsų privatumo įstatymas netaikomas.

Kaip nustatyti lankytojo pilietybę, įstatymas nepaaiškino. Operatorių buvo paprašyta patiems išspręsti šią problemą. Ir jei nėra aiškios pozicijos ir įrankių, verta laikytis įstatymų, susijusių su visais asmens duomenimis, kurie buvo surinkti Rusijos teritorijoje.

Dubliuokite tuos pačius dokumentus užsienio kalbos Rusai neturi prasmės. Tačiau šios taisyklės nebuvo išrastos Rusijoje. Yra Europos Tarybos konvencija dėl asmenų apsaugos automatizuoto asmens duomenų tvarkymo atžvilgiu. Taigi, jei renkate duomenis iš užsieniečių, pagalvokite, kaip laikotės šalies, kurioje jie gyvena, įstatymų.

Europoje už vieną asmens duomenų tvarkymo taisyklių pažeidimą baudžiama šimtais tūkstančių eurų. Rusijoje maksimali bauda nuo 2017 m. liepos 1 d. - 75 tūkstančiai rublių.

Ar galiu neregistruoti „Roskomnadzor“, jei atsiliepimo formos lauką pakeisiu iš „Jūsų vardas“ į „Jūsų įmonė“?

Asmens duomenų įstatymas saugo tik fizinių asmenų duomenis. Tai neapima įmonės duomenų. Tačiau tai, kas nurodyta atsiliepimo formoje, yra formalumas. Svarbu, kokius duomenis ir kokiu tikslu renka svetainės savininkas.

Jei iš tikrųjų tai yra įmonės pavadinimas ir biuro telefono numeris, tokiai informacijai įstatymai netaikomi. Bet jei svetainė renka pašto adresai ir įmonės darbuotojų telefonų numeriai, norint vėliau išsiųsti jiems laiškus ar perduoti juos trečiosioms šalims, gali kilti problemų tiek iš šių darbuotojų, tiek iš „Roskomnadzor“.

Visi asmens duomenų valdytojai turi užsiregistruoti „Roskomnadzor“. Išimtys tik 2 str. 2 dalyje išvardytiems atvejams. Asmens duomenų įstatymo 22 str.

Taigi paskelbiu įrašą feisbuke ir miniu savo draugą – taigi apdoroju duomenis? Įrašo talpykla yra saugoma telefone, taigi aš saugau duomenis? Ir jei pakartotinai paskelbiu „Twitter“, tada taip pat pateikiu juos trečiajai šaliai. Ir kaip su tuo gyventi?

Tai nėra įstatymo pažeidimas. Šiuo atveju asmens duomenų operatorius yra Socialinis tinklas. Visi ten užsiregistravę sutiko, kad jo duomenys būtų skelbiami, tvarkomi ir naudojami.

Visi Facebook vartotojai

Atsakymas nuo 2013-04-18 13:23

1. Situacijos, kai būtinas asmens duomenų perdavimas

Vadovaujantis str. Remiantis Rusijos Federacijos darbo kodekso 88 straipsniu, darbdavys negali atskleisti darbuotojo asmens duomenų trečiajai šaliai be rašytinis sutikimas šis darbuotojas, išskyrus atvejus, kai būtina užkirsti kelią grėsmei darbuotojo gyvybei ir sveikatai, taip pat kitais Rusijos Federacijos darbo kodekse ar kituose federaliniuose įstatymuose numatytais atvejais. Taip pat darbdavys neturi teisės komerciniais tikslais atskleisti darbuotojo asmens duomenų be jo raštiško sutikimo.
Informacija apie darbuotojo asmens duomenis, esant aukščiau nurodytoms sąlygoms, gali būti teikiama tiek organizacijos darbuotojams, tiek pareigūnams vyriausybines agentūras ir kitos organizacijos. Darbdavys privalo atsisakyti pateikti asmens duomenis, jei prašymą pateikęs asmuo nėra įgaliotas federalinis įstatymas gauti tokią informaciją arba nėra raštiško darbuotojo sutikimo pateikti informaciją apie jį prašymą pateikusiam asmeniui. Šiuo atveju išduotas rašytinis pranešimas dėl atsisakymo pateikti asmens duomenis.

1.1. Asmenys ir įstaigos, kuriems asmens duomenys gali būti perduodami be darbuotojų sutikimo

Įvykus nelaimingam atsitikimui su darbuotoju, darbdavys privalo informuoti atitinkamas institucijas ir organizacijas, o įvykus sunkiam nelaimingam atsitikimui (ar mirčiai) – ir savo artimiesiems. Esant tokiai situacijai, darbuotojo sutikimas dėl jo asmens duomenų perdavimo nereikalingas (Rusijos Federacijos darbo kodekso 228 straipsnis). Notifikuotųjų įstaigų sąrašas ir pranešimų apie nelaimingą atsitikimą išsiuntimo terminai nustatomi 2008 m. Rusijos Federacijos darbo kodekso 228.1 str.
Darbdavys taip pat privalo teikti darbuotojų asmens duomenis valstybiniams darbo inspektoriams, kai jie vykdo priežiūros ir kontrolės veiklą (Rusijos Federacijos darbo kodekso 357 straipsnis). Vadovaujantis str. 1996-01-04 federalinio įstatymo N 27-FZ „Dėl individualios (asmeninės) apskaitos privalomosios apskaitos sistemoje“ 9 str. pensijų draudimas Darbdavys privalo pateikti nurodytus duomenis Pensijų fondas RF šiais atvejais:
- pirminės apdraustųjų registracijos metu individualiai (asmeninei) registracijai privalomojo pensijų draudimo sistemoje;
– įdarbinant tuos, kurie anksčiau neturėjo draudimo patirtis ir draudimo liudijimas piliečių privalomasis pensijų draudimas arba sudarant su jais civilines sutartis, už kuriuos pagal Rusijos Federacijos įstatymus imamos draudimo įmokos;
- likvidavimas, reorganizavimas juridinis asmuo, asmens veiklos nutraukimas kaip individualus verslininkas, pašalinimas iš registracijos įrašai advokato, notaro, užsiimančio privačia praktika, draudiku-darbdaviu;
- apdraustajam, dirbančiam pas jį, praradus privalomojo pensijų draudimo pažymėjimą;
- pasikeitus perduodamai informacijai apie pas jį dirbančius apdraustuosius.
Pagal 2 str. Pagal šio įstatymo 11 straipsnį apdraustasis kartą per metus, bet ne vėliau kaip iki kovo 1 d., Rusijos Federacijos pensijų fondui pateikia informaciją apie kiekvieną pas jį dirbantį apdraustąjį, kuriame nurodo:
1) individualios asmeninės sąskaitos draudimo numeris;
2) pavardė, vardas ir patronimas;
3) įdarbinimo data (apdraustajam, priimtam į darbą per ataskaitinį laikotarpį) arba civilinės teisės sutarties sudarymo data, už kurią atlyginimą pagal Rusijos Federacijos teisės aktus imamos draudimo įmokos;
4) atleidimo iš darbo data (apdraustajam, atleistam iš darbo per ataskaitinį laikotarpį) arba civilinės teisės sutarties nutraukimo data, už kurią atlyginimą pagal Rusijos Federacijos teisės aktus imamos draudimo įmokos;
5) veiklos laikotarpiai, kurie yra įtraukti į darbo patirtį su specialios sąlygos darbo jėgos, srityse Tolimoji Šiaurė ir jiems prilygintos sritys;
6) darbo užmokesčio (pajamų) suma, nuo kurios buvo kaupiamos pensijų įmokos;
7) sukauptų pensijų įmokų dydis;
smile8) kita informacija, reikalinga teisingai apskaičiuoti darbo pensijas;
9) draudimo įmokų, sumokėtų už apdraustą asmenį, kuris yra profesinės pensijų sistemos subjektas, suma;
10) laikotarpiai darbinė veiklaįtrauktas į apdraustojo asmens, kuriam taikoma profesinių pensijų sistema, profesinę patirtį.
Vadovaujantis str. 1993 m. liepos 22 d. piliečių sveikatos apsaugos teisės aktų pagrindų 61 (patvirtintas Rusijos Federacijos Aukščiausiojo Teismo 1993 m. liepos 22 d. N 5487-1), informacijos, sudarančios medicininį patikrinimą, perdavimą darbdaviui. slapta leidžiama su piliečio ar jo sutikimu teisinis atstovas. Išimtis yra atvejai, kai informacija apie darbuotojo sveikatos būklę perduodama darbdaviui iškilus infekcinių ligų plitimo, masinio apsinuodijimo ir traumų grėsmei arba jeigu yra pagrindas manyti, kad žala darbuotojo sveikatai. pilietis buvo sukeltas dėl neteisėtų veiksmų.
Federaliniai įstatymai gali numatyti kitus asmens duomenų perdavimo be darbuotojo sutikimo atvejus.

Asmens duomenų tvarkymas be subjekto sutikimo galimas tik įstatymų nustatytais atvejais. Tokios informacijos panaudojimas pažeidžiant tvarką ar be tinkamo pagrindo užtraukia kaltininkus civilinės, darbo, administracinės ir baudžiamosios atsakomybėn.

Kokiais atvejais leidžiama perduoti trečiosioms šalims ir kitaip tvarkyti asmeninę informaciją apie subjektą?

2006 m. liepos 27 d. Asmens duomenų įstatymas Nr. 152-FZ nustatė 2 galimybes, kuriomis piliečio (subjekto) asmeninės informacijos tvarkymas yra teisėtas:

  1. Gavęs jo sutikimą tam.
  2. Be sutikimo šiais atvejais:
    • kitų asmenų informacijos panaudojimas asmeniniams ir šeimos poreikiams, jeigu tai nepažeidžia piliečio teisių;
    • gaminimas Asmeninė informacijaį bazę Archyvinis fondas Rusija;
    • priimant sprendimą dėl informacijos priskyrimo valstybės paslaptisŠi byla informacijai apie jį įslaptinti tiriamojo sutikimas nebūtinas);
    • būtinybė panaudoti informaciją siekiant įgyvendinti Rusijos sąlygas tarptautines sutartis ir įstatymai;
    • asmens dalyvavimas teismo procese ir su tuo susijęs;
    • naudoti atlikimui teisminis aktas arba dokumento nuostatas, priimtas valdžios institucijų vykdymo procedūros;
    • savivaldybės ar valstybės paslaugų gavimas asmens;
    • asmens pripažinimas, kad informacija apie save yra viešai prieinama;
    • susitarimo, kuriame subjektas veikia kaip šalis arba naudos gavėjas, sudarymas ir vykdymas;
    • negalėjimas gauti sutikimo iškilus grėsmei asmens gyvybei, sveikatai, svarbiems interesams;
    • teisių įgyvendinimas, operatoriaus (tvarkančio informaciją) ar trečiųjų asmenų interesų užtikrinimas, socialiai reikšmingų tikslų siekimas;
    • įgyvendinimas profesinę veikląžurnalistai ir žiniasklaida kūrybinė veikla kai tai nepažeidžia žmogaus teisių;
    • nuasmenintos informacijos apie asmenį naudojimas tyrimų ir statistikos tikslais, išskyrus politinę kampaniją, prekių, paslaugų ir darbų reklamą rinkoje;
    • privalomo atskleidimo, duomenų skelbimo poreikis remiantis įstatymų nurodymais (pavyzdžiui, valstybės tarnautojai privalo atskleisti informaciją apie savo pajamas).

Informacijos apdorojimo (saugojimo, platinimo ir pan.) tvarka negavus subjekto sutikimo

Bendra tvarka, kai operatoriai tvarko asmens duomenis apie piliečius be jų specialaus leidimo, yra tokia:

  1. Operatorius, jei yra teisiniai pagrindai gauna informaciją. Pranešti asmeniui apie jo informacijos tvarkymo pradžią neprivaloma, tačiau kai kuriais atvejais pranešimas siunčiamas Roskomnadzor.
  2. Operatorius atlieka būtini veiksmai(renka, įrašo, perduoda, išaiškina ir pan.). Kaip teigiama str. 152-FZ 5 str., naudotojo veiksmai apsiriboja duomenų tvarkymo tikslu.
  3. Pasiekus tikslus arba nutraukus naudojimo poreikį, duomenys sunaikinami arba nuasmeninami.

Papildomas etapas gali būti asmens ginčijimas dėl informacijos apie jį naudojimo teisėtumo. Ginčų sprendimo institucija yra (piliečio pasirinkimu) teismas arba Roskomnadzor. Spręsdamas konfliktą, operatorius pateikia įrodymus, kad egzistuoja aplinkybės, leidžiančios naudoti duomenis be piliečio sutikimo arba prieštaraujančios piliečio draudimui.

Operatoriaus atsakomybė

Operatoriui pažeidus asmens duomenų tvarkymo tvarką ir sąlygas, jam gali būti taikoma įvairių rūšių atsakomybė:

Atsakomybės tipas

Pažeidimo pavyzdys

Bausmė

Teisinis pagrindas

civilinis

Moralinės žalos padarymas

Kompensacijos išmokėjimas

Art. 152-FZ 24 str. 1099 GK

Drausminė

atskleidimas Asmeninė informacija apie kitą darbuotoją

Atleidimas iš darbo

Įstatymo pažeidimas tvarkant informaciją

Patraukimas drausminei ir finansinei atsakomybei

Administracinis

Duomenų tvarkymas prieštarauja duomenų rinkimo tikslui
  • piliečiai - 1000-3000 rublių;
  • pareigūnai - 5000-10000 rublių;
  • organizacijos - 30 000-50 000 rublių.

1 dalis str. 13.11 Administracinis kodeksas

Kriminalinis

Privatumo pažeidimas

Alternatyvi sankcija:

  • bauda iki 200 000 rublių,
  • privalomas darbas iki 360 val.
  • pataisos – iki 1 metų,
  • privaloma – iki 2 metų,
  • laisvės atėmimas iki 2 metų ir kt.

1 dalis str. 137 JK

Pareigūno atsisakymas arba apgaulė, suteikiant piliečiui informaciją apie jį

Bauda (200 000 rublių arba pajamos iki pusantrų metų) arba teisės verstis praktika atėmimas. tam tikra veikla per 2-5 metus

Prieiga prie kompiuterio informacija be teisės

Bauda (200 000 rublių arba pajamos iki pusantrų metų), pataisos darbai iki metų arba priverstinis darbas, apribojimas arba laisvės atėmimas iki 2 metų

1 dalis str. 272 JK

Taigi informacijos tvarkymas be subjekto leidimo galimas, jeigu operatoriui tokia teisė yra suteikta įstatymu. Informacijos naudojimas šiuo atveju turėtų būti vykdomas tiek, kiek būtina operatoriaus tikslams pasiekti, po to duomenys sunaikinami arba nuasmeninami. Asmuo, manantis, kad jo asmens duomenys buvo panaudoti neteisėtai, turi teisę kreiptis į teismą arba „Roskomnadzor“.

Nežinote savo teisių?

Bet kokia informacija, susijusi su tiesiogiai ar netiesiogiai identifikuotu ar identifikuojamu asmeniu, yra pripažįstama asmens duomenimis (2006 m. liepos 27 d. Federalinio įstatymo Nr. 152-FZ „Dėl asmens duomenų“, toliau – Įstatymas Nr. 152, 1 straipsnis, 3 straipsnis). -FZ).

Asmens duomenis sudaro pavardė, vardas, tėvavardis, metai, mėnuo, gimimo data ir vieta, adresas, šeima, socialinė ir turtinė padėtis, išsilavinimas, profesija, pajamos ir kita informacija apie konkretų asmenį. Darbuotojui išmokėto darbo užmokesčio dydis nurodo jo asmens duomenis (2014 m. vasario 7 d. „Roskomnadzor“ raštas Nr. 08KM-3681).

Informacijos apie darbo užmokestį ratas

Sąvoka „“ apima ne tik oficialus atlyginimas arba tarifo tarifą darbuotojui, bet ir jam priklausančias kompensacijas bei skatinamąsias išmokas (pašalpas, priedus, priedus) (129 straipsnio 1 dalis). Darbo kodeksas RF).

Prieiga prie asmens duomenų

Asmens duomenys yra ribotos prieigos informacija (Įstatymo Nr. 152-FZ 2, 3, 5 ir 6 straipsniai).

Kokiais atvejais asmens duomenys gali būti atskleisti trečiajai šaliai

Asmens duomenys teikiami trečiosioms šalims, kai tai būtina siekiant užkirsti kelią grėsmei darbuotojo gyvybei ir sveikatai bei kitais Darbo kodekso ar kitų federalinių įstatymų nustatytais atvejais (Rusijos Federacijos darbo kodekso 88 str., 7 str. 152-FZ).

Kokiais atvejais asmens duomenys negali būti perduodami trečiajai šaliai

2012-12-14 paaiškinimo 4 punkte „Roskomnadzor“ specialistai išanalizavo keletą situacijų, kai neįmanoma pateikti asmeninės informacijos apie darbuotoją.

Taigi, jūs negalite perduoti duomenų apie darbuotoją, jei:

Prašymą pateikė asmuo arba organizacija, kuri pagal federalinius įstatymus neturi teisės gauti tokios informacijos. Pavyzdžiui, asmens duomenų prašantis asmuo nėra valstybinis inspektorius darbo, prokuroro, teisėsaugos ar saugumo pareigūno ir kt.;

Rašytinio darbuotojo sutikimo pateikti informaciją apie jį prašymą pateikusiam asmeniui nėra. Jei darbuotojas nesutiko, kad asmens informacija būtų perduota kuriam nors iš giminaičių, darbdavys ar jo atstovas neturi teisės perduoti darbuotojo asmens duomenų jo žmonai.

Sutuoktinio reikalavimas pateikti jai informaciją apie vyro atlyginimą taip pat nėra pagrindas teikti asmeninę informaciją be darbuotojo sutikimo. Tai patvirtina ir „Roskomnadzor“ specialistai 2014-02-07 rašte Nr.08KM-3681.

Asmens duomenų apsauga ir atsakomybė už jų atskleidimą

Teisės aktai nustato Skirtingos rūšys atsakomybę už asmens duomenų atskleidimą. Buhalteriai dėl savo tarnybinės pareigos turėti prieigą prie įmonės darbuotojų asmens duomenų (ypač informacijos apie juos darbo užmokesčio).

Drausminė atsakomybė

Jei darbuotojo asmens duomenų įmonė neslepia, direktorius turi teisę jį papeikti ar net atleisti iš darbo (Rusijos Federacijos darbo kodekso 81 straipsnio 1 dalies 6 punktas, 90 ir 192 straipsniai).

Tačiau jeigu buhalteris nuspręstų teisme ginčyti DK 81 straipsnio 1 dalies 6 punktą dėl kito darbuotojo asmens duomenų atskleidimo, įmonės administracija turės įrodyti:

Informacija, kurią atleistas atsiskaitymo dalies buhalteris neteisėtai atskleidė, yra susijusi su kito darbuotojo asmens duomenimis;

Jie darbuotojui tapo žinomi vykdant darbo pareigas;

Atleistas darbuotojas įpareigojo tokios informacijos neatskleisti.

Tai nurodyta plenumo sprendimo 43 punkte Aukščiausiasis Teismas RF 2004 m. kovo 17 d. Nr. 2.

Administracinė atsakomybė

Už informacijos apie darbuotojų asmens duomenis atskleidimą kaltininkas gali būti nubaustas administracinė nuobauda Rusijos Federacijos administracinių nusižengimų kodekso 13.14 straipsnyje numatyta suma, ty nuo 4000 iki 5000 rublių.

Kaip teisingai atsisakyti suteikti informaciją

Įmonė turi sukurti ir patvirtinti vietinį norminis aktas, kuris reglamentuoja darbuotojų asmens duomenų tvarkymo, saugojimo, naudojimo ir apsaugos tvarką – darbuotojų asmens duomenų reglamentą (Rusijos darbo kodekso 8 straipsnis, 86 straipsnio 7 ir 8 punktai, 87 ir 88 straipsniai). Federacija).

Visų pirma būtina nustatyti darbuotojų asmens duomenų perdavimo trečiosioms šalims tvarką.

Prašymas raštu

Darbuotojų asmens duomenų reglamente patartina nustatyti, kad įmonė nagrinėtų tik rašytinius prašymus pateikti asmens duomenis, nes žodinio proceso metu sunku nustatyti asmenį, kuris prašo pateikti darbuotojo asmens duomenis. apeliacija. Žiūrėkite žemiau pateiktą užklausos pavyzdį.

Rašytinis darbuotojo sutikimas

Darbuotojų asmens duomenų nuostatos atskiroje pastraipoje nurodyti, kad informacija artimiesiems ar šeimos nariams gali būti teikiama tik gavus raštišką paties darbuotojo sutikimą (išskyrus įstatymų numatytus atvejus).

Atkreipkite dėmesį: darbuotojas pats turi teisę nustatyti, kuriam asmeniui (organizacijai) jis yra pasirengęs pateikti savo asmens duomenis. Nebūtina, kad į šių asmenų sąrašą būtų įtrauktas darbuotojo sutuoktinis. Darbuotojo rašytinio sutikimo dėl jo asmens duomenų teikimo pavyzdys, žr. žemiau.

Atsakomybės apribojimo pranešimas

Asmens duomenų reglamente taip pat turėtų būti aprašyta procedūra įgaliotieji atstovaiįmonė, jei pagal įstatymą į prašymą negalima atsakyti teigiamai. Tokiu atveju buhalterė kreipusiam asmeniui išduoda raštišką pranešimą apie atsisakymą pateikti darbuotojo asmens duomenis.

Pranešime galima remtis Darbo kodekso 88 straipsniu ir atitinkama darbuotojų asmens duomenų vidaus reglamento dalimi. Žr. toliau pateikto pranešimo pavyzdį.