Hastalık izni

Bu durumlar olabilir. Tüm çalışanların kişisel verilerini sağlamamız gerekiyor mu? Kimler kişisel bilgileri sağlayabilir?

26.05.2019

Sadece mobil operatörlerin ve bankaların kişisel verilerle çalıştığına dair bir yanılgı var. Aslında öyle değil. Herhangi bir şirket, en azından çalışanlarının, ayrıca yüklenicilerin, müşterilerin, ofis ziyaretçilerinin vb. kişisel verilerini işler. Bu yazımızda kişisel verilerin ne olduğunu ve nasıl doğru bir şekilde işleneceğini açıkladık. Yasayı okuyun ve ihlal etmeyin - 1 Temmuz'dan itibaren şirketler için cezalar yedi kat artacak.

Her şirket kişisel verilerle çalışır, ancak her avukat kişisel verilerin ne olduğunu ve nasıl doğru şekilde işleneceğini bilmez. 1 Temmuz 2017'den önce hala o kadar korkutucu değilse - ihlaller için para cezaları küçüktü, ancak şimdi durum değişti. Bu tarihten itibaren, Rusya Federasyonu İdari Suçlar Kanunu'nda, kişisel verilerin işlenmesindeki ihlaller nedeniyle şirketler için para cezalarını artıran ve 7 yeni suç getiren değişiklikler yürürlüğe girdi (7 Şubat 2017 tarihli 13-FZ sayılı Federal Kanun). ). Para cezaları sadece şirketler tarafından değil, avukatlar da dahil olmak üzere yasayı ihlal eden çalışanlar tarafından da ödenecek. Kanunları çiğnememenize yardımcı olmaya karar verdik ve her şirket için geçerli olan kişisel veri işlemenin temellerini konuştuk.

Hangi bilgiler kişisel veridir

Kişisel veriler, belirli veya tanımlanabilir bir kişiyle doğrudan veya dolaylı olarak ilgili her türlü bilgidir. bir bireye(Madde 1, 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Yasanın 3. Maddesi “Kişisel Veriler Hakkında”; bundan sonra - 152-FZ sayılı Yasa). Daha spesifik olarak, bu tür bilgilerin listesi, 6 Mart 1997 tarih ve 188 sayılı “Gizli Bilgiler Listesinin Onaylanması Hakkında” Rusya Federasyonu Cumhurbaşkanı Kararnamesi'nde tanımlanmıştır: bu, gerçekler, olaylar ve koşullar hakkında bilgidir. bir vatandaşın özel hayatının, kimliğinin tespit edilmesine izin veren durumlar dışında, medyada yayılması gereken bilgiler yasal.

Hukuki işlerde ve personel hizmetleri Kişisel verileri işlenen şirketler genellikle kişi hakkında aşağıdaki bilgileri içerir:

  • Ad Soyad;
  • doğum yılı, ayı, tarihi ve yeri;
  • adres;
  • aile, sosyal, mülkiyet durumu;
  • eğitim, meslek, pozisyon, gelir;
  • biyometrik kişisel veriler.

Adli uygulama, kişisel verilerin listesini genişletir. Örneğin, mahkemeler kişisel veri olarak kabul edilmiştir:

  • bir vatandaşın ölümü hakkında bilgi (A49-2005/2014 sayılı davada 25 Eylül 2014 tarihli Volga Bölgesi Tahkim Mahkemesi kararı);
  • oda cep telefonu (temyiz kararı Altay bölge mahkemesi 01.10.13 tarihli 33-9241/2015 sayılı davada);
  • bir vatandaşın fotoğrafları (Sverdlovsky'nin temyiz kararı bölge mahkemesi 9 Nisan 2015 tarihli 33-5232/2015 sayılı davada).

AT son zamanlar açık bir eğilim var - kişisel verileri oluşturan bilgi listesi genişliyor. Yani, Avrupa Mahkemesi 582/14 (Patrick Breir/Almanya) davasında 19/10/16 tarihli Kararda adalet, belirli koşullarİnternet kullanıcısının IP adresi bile kişisel veri olarak kabul edilebilir.

Kişisel verilerin işlenmesi nedir

Kişisel verilerin işlenmesi, toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama (güncelleme, değiştirme), çıkarma, kullanma, aktarma (dağıtım, sağlama, erişim), duyarsızlaştırma, engelleme, silme ve imha dahil olmak üzere kişisel verilerle yapılan herhangi bir eylemdir ( Madde 3, 152-FZ sayılı Kanun'un 3. Maddesi).

Örneğin, bir şirket müşteri anketleri toplarsa kişisel verileri işler (örn. kağıt formu veya web sitesi aracılığıyla), müşteri tabanını korur ve saklar, müşterilerin bağlantılarını çağrı merkezine aktarır, ofis ziyaretçilerinin pasaport verilerini kontrol noktasında kaydeder, vb. Aslında, herhangi bir şirket kişisel verileri işler.

Hayır!
Başvuru sahiplerinin ve çalışanların kişisel verilerinin işlenmesi için ek koşullar, Ch. Rusya Federasyonu İş Kanunu'nun 14'ü ve 14 Aralık 2012 tarihli Roskomnadzor'un açıklamaları “Çalışanların, iş arayanların kişisel verilerinin işlenmesi ile ilgili konular boş pozisyonlar, personel rezervindeki kişilerin yanı sıra.

Roskomnadzor'a ne zaman haber verilmeli

Bir şirket kişisel verileri işliyorsa işletmecidir (152-FZ sayılı Kanun'un 2. maddesi 3. maddesi). Operatör, kişisel verilerin işlenmesinden önce, niyetini Roskomnadzor'a bildirmekle yükümlüdür (152-FZ sayılı Kanun'un 22. maddesi 1. maddesi).

İşletmeci şirketin kişisel verileri işlemesi durumunda, özellikle:

  • sadece çalışanları;
  • sözleşme akdetmek ve yürütmek amacıyla (örneğin, karşı tarafların kişisel verileri);
  • bir kişinin şirket topraklarına tek geçişi için;
  • otomasyon araçları kullanılmadan (kişisel veriler bir kişinin doğrudan katılımıyla kullanılır, netleştirilir, dağıtılır ve imha edilir - bkz. 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi).

Şirketin 152-FZ sayılı Kanun'da belirtilen istisnalara girip girmediğini kontrol edin. Değilse, bir bildirim gönderin. resmi üniforma(Ek No. 2 idari düzenlemeler, onaylı Rusya Telekom ve Kitle İletişim Bakanlığı'nın 21 Aralık 2011 tarih ve 346 sayılı Emri. O zaman gönder bölgesel otoriteŞirketin tescil yerinde Roskomnadzor. Hem kağıt üzerinde hem de formda bir bildirim gönderebilirsiniz. elektronik belge Gosuslugi portalı (gosuslugi.ru) veya Roskomnadzor'un resmi web sitesi (pd.rkn.gov.ru/) aracılığıyla.

Roskomnadzor, bildirimin alındığı tarihten itibaren 30 gün içinde şirket hakkındaki bilgileri operatörlerin siciline girecektir. Şirketin sicile dahil olup olmadığını departmanın resmi web sitesinde (pd.rkn.gov.ru/) kontrol edebilirsiniz.

Kişisel veriler nasıl düzgün bir şekilde toplanır

İle Genel kural kişisel verileri toplamak için, sahiplerinin - kişisel verilerin konusunun - rızasını almanız gerekir (152-FZ sayılı Kanun'un 1. maddesi, 1. maddesi, 6. maddesi). Rızanın kesin, bilgilendirilmiş ve bilinçli olması gerekir (152-FZ sayılı Kanun'un 1. maddesi, 9. maddesi). Bu, kişisel verilerin işlenmesine ilişkin gerekçelerin listesinin mümkün olduğunca özel olarak belirtilmesi ve ayrıca işleme süresini ve rızanın geri alınması prosedürünü içermesi gerektiği anlamına gelir (CA kararı). Ural İlçesiА60-31459/2013 sayılı davada 29 Eylül 2014 tarihli, А59-48/2014 sayılı davada 13 Ağustos 2014 tarihli Beşinci AAC kararı).

Kanun, istisnalar dışında, kişisel verilerin işlenmesine rıza şeklini oluşturmaz. özel bilgi. Özne, alındığı gerçeğini teyit edecek herhangi bir biçimde onay verebilir (152-FZ sayılı Kanun'un 1. maddesi, 9. maddesi). Özellikle, rıza şu şekilde ifade edilebilir: elektronik form web sitesinde bir anket doldurarak (A56-73636 / 2009 sayılı davada 13 Aralık 2010 tarihli Kuzey-Batı Bölgesi Federal Antimonopoly Hizmetinin kararı, 7 Ağustos 2013 tarihli Omsk Bölge Mahkemesinin temyiz kararı) dava No. 33-5139 / 2013).

DİPNOT
İşleme için öznenin yazılı onayı gerekir özel kategoriler kişisel veriler - örneğin, bir kişinin uyruğu ve sağlık durumu hakkında (152-FZ sayılı Kanun'un 10. Maddesi). Onay, geliştirilmiş nitelikli elektronik imza ile kağıt üzerinde veya elektronik biçimde alınabilir.

İşleme için onay alın standart biçim rıza maddesi sadece metinde yer alıyorsa sözleşme risklidir. Tüketici bu koşulu değiştiremezse, mahkeme bu yöntemi uygunsuz olarak kabul edebilir - örneğin, rızasını veya reddettiğini not edin (A44 sayılı davada Kuzey-Batı Bölgesi Tahkim Mahkemesinin 18 Temmuz 2016 tarihli kararı). 9647 / 2015, Ural Bölgesi Tahkim Mahkemesinin 22 Aralık tarihli kararı А76-5164/2016 davasında).

Denetim veya dava açılması durumunda, kişisel verilerin işlenmesine rıza alacağını kanıtlamakla yükümlü olan işletmecidir (152-FZ sayılı Kanun'un 3. maddesi, 9. maddesi). Bu nedenle şirketinizin ne tür kişisel verileri işlediğini önceden belirleyin. Buna bağlı olarak, işleme için onay almak için bir form geliştirin. Önemli nokta- özne istediği zaman rızasını geri alma hakkına sahiptir (152-FZ sayılı Kanun'un 2. maddesi, 9. maddesi). Şirket, böyle bir itiraz aldığı takdirde, kişisel verilerin işlenmesini durdurmakla yükümlüdür.

Hayır!
Konunun kendisi bunları kamuya açık hale getirmişse, kişisel verilerin işlenmesi için onay gerekli değildir. Örneğin, bir foruma veya sosyal ağa kaydolurken. Konu daha sonra işleme iznini iptal ederse, göz ardı edilebilir (Madde 10, fıkra 1, madde 6, fıkra 2, fıkra 2, fıkra 10).

Çalışan onayı nasıl alınır

Çalışanlar, kişisel verilerin işlenmesi prosedürünü oluşturan şirket belgelerinin yanı sıra bu alandaki hak ve yükümlülüklerini (Rusya Federasyonu İş Kanunu'nun 86. Maddesi, 8. maddesi) imzalamaya aşina olmalıdır. Böyle bir prosedür, iş sözleşmesinin kendisinde, eklerinde, iç hukuk kurallarında belirtilebilir. çalışma programı veya diğerleri yerel eylemler- örneğin, şirketin kişisel verilerin işlenmesine ilişkin politikası. Çalışanların bu belgelere aşina olmaları gerçeği ayrı olarak kaydedilmelidir - örneğin özel bir dergide.

DİPNOT
Çalışanların kişisel verilerinin işlenmesindeki ihlallerden şirket, Sanat uyarınca sorumlu tutulabilir. Rusya Federasyonu İdari Suçlar Kanunu'nun 5.27'si (80 bin rubleye kadar para cezası).

Kişisel verilerin işlenmesi için çalışanın rızası gerekli değildir aşağıdaki durumlar(bkz. 14.12.12 tarihli Roskomnadzor “Çalışanların, iş arayanların kişisel verilerinin işlenmesine ilişkin konular…” açıklamaları):

  • çalışanın yakın akrabalarının kişisel verilerinin, öngördüğü ölçüde işlenmesi Kişisel kart T-2 şeklinde;
  • savcılıktan gerekçeli talepler almak, kanun yaptırımı, güvenlik kurumları, devlet iş müfettişleri;
  • işleme, çalışanla yapılan bir sözleşmenin veya işverene verilen yükümlülüklerin yerine getirilmesi için gereklidir;
  • işlenmesi, çalışanının performansı ile ilgilidir. iş görevleri, onu iş gezilerine gönderirken de dahil.

Kişisel verilerin güvenliği nasıl sağlanır

Kişisel veriler şu anlama gelir: kesin bilgi(152-FZ sayılı Kanun'un 7. Maddesi). İşletmeciler ve bunlara erişim sağlayan diğer kişiler, kişisel verileri ilgilinin rızası olmadan üçüncü kişilere açıklamamak ve dağıtmamakla yükümlüdür. İşletmeci, kişisel verilerin güvenliğini sağlamakla yükümlüdür. Önlemler, verilerin nasıl işlendiğine bağlıdır - otomasyon araçları kullanılarak veya manuel olarak.

Bir şirket, kişisel verilerin otomatik olarak işlenmesini gerçekleştiriyorsa, kişisel verilerin işlenmesi sırasında Kişisel Verilerin Korunması Gereksinimlerine tabidir. bilgi sistemi, onaylı 1 Kasım 2012 tarih ve 1119 sayılı Rusya Federasyonu Hükümeti Kararnamesi ve Sipariş Rusya'nın FSTEC'i tarih 18 Şubat 2013 No. 21. Bu gereklilikleri yerine getirmek için BT uzmanlarını dahil etmek gerekir.

Kişisel verileri otomasyon olmadan korumak için tavsiye önlemleri sağlanır (152-FZ sayılı Kanunun 19. Maddesi ve 15 Eylül 2008 tarih ve 687 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile onaylanan Yönetmeliğin 13-15. maddeleri). Bu önlemlerden biri, dahili belgelerşirketler, kişisel verileri işleyen veya bunlara erişimi olan kişilerin bir listesi. Veri güvenliği, farklı amaçlarla işlenen kişisel veri taşıyıcılarının ayrı ayrı saklanması (örneğin çalışanların, ofis ziyaretçilerinin ve müşterilerin verilerinin ayrı ayrı saklanması) ile sağlanabilir.

Kişisel veriler alanındaki ihlaller için ne ve kim tehdit ediliyor

Kişisel verilerin işlenmesindeki ihlaller için şirket medeni kanuna tabi tutulabilir ve idari sorumluluk Sanat altında. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i. 1 Temmuz 2017'ye kadar azami ceza için resmi 1.000 ruble ve bir şirket için - 10.000 rubleye kadar para cezası vardı.

1 Temmuz 2017 tarihinden itibaren idari sorumluluğu güçlendiren değişiklikler (7 Şubat 2017 tarih ve 13-FZ sayılı Federal Kanun) yürürlüğe girmiştir. Değişiklikler, Sanatta ek suç unsurları getirmektedir. Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11'i ve cezaları artırın. Kanun, özellikle aşağıdaki ihlaller için tüzel kişilerin sorumluluğunu ortaya koymaktadır:

  • olmayan durumlarda kişisel verilerin işlenmesi yasal(Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 1. kısmı) - 30 bin ila 50 bin ruble arasında para cezası;
  • kişisel verilerin rıza olmaksızın işlenmesi yazı yasa böyle bir onayın alınmasını gerektirdiğinde (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 2. kısmı) - 15 ila 70 bin ruble arasında bir para cezası;
  • kişisel verilerin işlenmesine ilişkin politikanın operatörü tarafından, yasa tarafından böyle bir zorunluluk sağlandığında (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. maddesinin 3. kısmı) - 15 ila 30 bin para cezası ruble.

Bir çalışan idari olarak sorumlu tutulabilir, ancak bununla sınırlı değildir. Ek olarak, maddi (Rusya Federasyonu İş Kanunu'nun 243. maddesinin 7. maddesi) disiplin cezası (Rusya Federasyonu İş Kanunu'nun 81. maddesinin 1. bölümünün 6. maddesinin "c" maddesi) ve hatta cezai sorumluluk(Rusya Federasyonu Ceza Kanunu'nun 137. maddesinin 2. kısmı).

Hem ihlalde bulunan çalışan (örneğin, müşteri veritabanını flash sürücüsüne kopyalayan ve bir rakibe aktaran) hem de şirkette kişisel verilerin işlenmesinden sorumlu olan çalışan sorumlu tutulacaktır.

Örneğin, bir kız daha sonra oraya reklam yerleştirmek için hamile kadınlar için bir forum oluşturdu. Kayıt olurken, katılımcılar kendileri hakkında bilgi verir. Bu kız kişisel veri operatörü. Diğer insanlar hakkında bilgi alır ve bu verilerle bir şeyler yapar: yaşa ve ilgi alanlarına göre sistematize eder, kullanıcı etkinliğini kontrol eder, posta listeleri, davetler için kullanır veya basitçe saklar.

Bu eylemlerden herhangi biri kişisel verilerin işlenmesidir. Bu eylemi gerçekleştiren herkes bir operatördür.

Arkadaşlarımın e-postaları, telefon bağlantılarım, farklı kişilerin sosyal medya hesapları var. Benim de bir operatör olduğum ve verilerini depolamak ve silmek için bu kişilerin onayını almam gerektiği ortaya çıktı?

Hayır, bu gibi durumlarda rıza gerekli değildir. Kanun, kişisel ve ailevi ihtiyaçlar için işlenen kişisel verileri kapsamamaktadır. Bunlar, telefon rehberindeki doğru kişilerin bağlantıları, iş arkadaşlarının ve ortakların kartvizitleri, Facebook'taki arkadaş profilleri olabilir.

Geri bildirim formu da yasa kapsamında mı?

Bir kişi kişisel verilerini içine girebilirse, evet, oraya ulaşır.

Kişisel verilerin toplanma şekli ve yöntemi konusunda kanunda herhangi bir istisna bulunmamaktadır. Ve koleksiyonun tam olarak ne olduğuna dair bir açıklama yok. Telekomünikasyon ve Kitle İletişim Bakanlığı, toplamanın bir kişi hakkında veri elde etmek için bir tür belgelenmiş prosedür olduğuna inanmaktadır. Geri bildirim formu uygundur bu tanım altında.

Geri bildirimin biçimi, sırf var olduğu için yasa kapsamına girmez. Ziyaretçinin bu form aracılığıyla hangi verileri ilettiği, sızıntı ve dağıtım durumunda bir kişiyi doğrudan veya dolaylı olarak tanımlamanın ve ona zarar vermenin mümkün olup olmadığı önemlidir.

Bir site ziyaretçisinin formda adını, soyadını, telefon numarasını ve e-posta adresini belirtmesi kişisel veridir. Bu verileri alan, işleyen ve saklayan kişi, kişisel verilerin sorumlusu olarak kabul edilir ve hukuka uymak zorundadır.

Soyadı ve telefon numarası olmayan yalnızca bir ad alırsanız, bu da kişisel veriler kapsamına girer mi? Ya bu sadece bir telefon numarasıysa?

Kanuna göre kişisel veri, doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım hiçbir şey vermemekte veya netleştirmemektedir.

Kelimenin tam anlamıyla, her şey kişisel veri olarak kabul edilebilir. Hukukçular yıllardır bu konuyu tartışıyorlar.

Telekom ve Kitle İletişim Bakanlığı ayrıntı vermiyor ve şunu söylüyor: Kişisel verilerin bileşimini listelemek de dahil olmak üzere daha doğru bir şekilde belirlemek gerçekçi görünmüyor. Bu konuda diğer departmanlardan da net bir açıklama yok.

Posta veya girişin kişisel verilere ait olup olmadığı konusunda bir anlaşmazlık varsa, her şeye mahkeme karar verecektir. Kişisel verilerle ilgili birçok karar halihazırda mahkemeler tarafından verilmiştir. Bunlardan bariz olanı: tam ad, pasaport verileri, adres, telefon numaraları, aile üyeleri hakkında bilgiler, emeklilik dosyasından ve iş sözleşmesi. Açık olmayan onlardan sonra gelir: TIN kendi içinde kişisel veriler değildir, ancak sınırı geçme gerçeğine ilişkin verilerdir.

Oturum açmanın kendisi kişisel veri değildir. Karakter setiyle ne tür bir insan olduğunu ve hatta hangi cinsiyette olduğunu anlamak imkansız.

Ancak, bir kişi avatarına gerçek fotoğrafını koyarsa veya kayıt sırasında adının baş harfleriyle soyadının ve alan adında şirket adının olacağı postayı belirtirse, bu toplamda zaten kişisel veridir.

Hiç kimse kişisel verilerin ne olduğunu gerçekten bilmiyor

Sitenin teması, hukuki şekli ve veri seti ile ilgili olarak kanunda herhangi bir istisna bulunmamaktadır.

Risk almamak için bunu yapmak daha iyidir.

Bazı kişiler hakkında herhangi bir amaçla herhangi bir bilgi toplarsanız, onların rızalarını kaydetmeniz ve belgeleri hazırlamanız gerekir. Bu sigorta için yapılırsa, gerekli olmadığında bile korkunç bir şey olmayacaktır. Ve bu yapılmazsa, kullanıcılardan ve Roskomnadzor'dan talepler gelebilir.

Bir müşteri için bir web sitesi yapıyorum, verileri kendi tarafımda işliyor ve saklıyorum. Aynı zamanda site sahibinin kişisel verilerinin operatörü olması gerekmiyor mu?

Site sahibi, kişisel verilerin işleticisi olmak ve yasalara uymakla yükümlüdür. Kanunen, kişisel verileri toplayabilir ve işlenmesi için birine aktarabilirsiniz. Site sahibi, müşteri verilerini web yöneticisine, çevrimiçi mağazaya - posta hizmetine aktarabilir.

Bunun için site sahibi ziyaretçilerden izin almalı ve verilerini kime ve neden aktaracağını onlara açıklamalıdır.

Sahibinin sorumluluğu

Verileri işlemek için aktardığı kişi ayrı bir izin almamalı, ancak yasaya uymalıdır.

Siteyi ziyaret edenlerin yasalara uymasından site sahibi sorumlu olacaktır.

Sitenin sahibi Roskomnadzor ve mahkeme, verilerin toplamını belirleyecektir. Site belirli bir tüzel kişilik veya bireysel girişimci hakkında bilgi içeriyorsa, ondan istenecektir. Eğer böyle bir veri yoksa domain yöneticisine sorarlar.

Para cezası vermek için verileri sakladığımı ve işlediğimi nasıl anlayacaklar? Rus veri merkezinde bir maske gösterisi düzenleyebilir ve sunucuyu çıkarabilirsiniz, ancak bu tür numaralar yurtdışında çalışmaz.

Roskomnadzor, ihlalleri iki şekilde öğrenir:

  • kontrolü yapacak;
  • birinin şikayetine cevap vermek.

Roskomnadzor ihlalleri tespit ederse, site engellenebilir ve şirket para cezasına çarptırılabilir.

Operatörlerin kişisel verileri Rus sunucularında saklaması kanunen zorunludur. Birkaç istisna vardır, ancak bunlar ayrıntılardır. Herhangi bir çevrimiçi mağaza veya abonelik hizmeti, Rusya'daki vatandaşların kişisel verilerini içeren bir veritabanı depolamalıdır.

Daha sonra bu verileri yurt dışına aktarabilirsiniz. Yasaldır, ancak belirli koşullar altında. Aksi takdirde yurt dışında otel rezervasyonu yapmak, uçak bileti almak imkansız olurdu.

Roskomnadzor, veritabanlarının nerede saklandığının onaylanmasını isteyebilir. Örneğin, bir veri merkezi, barındırma veya kendi sunucunuz için belgelerle yapılan bir anlaşma. Kişisel verilerin Rusya'da değil, ihlallerle saklandığı ortaya çıkarsa, sorunlar olacaktır.

Kişisel veriler yasasına ek olarak, gereklilikler de vardır. Federal Hizmet teknik ve ihracat kontrolü ve FSB. Savcılık da soruşturmaya müdahil olabilir. Verilerin gerçekte nerede saklandığını bulmak ve ihlallerle ilgilenmek için yeterli yetkiye sahiptirler.

Web sitemiz İngilizce ise ne olur?

Site Rusya Federasyonu topraklarında çalışmak için kullanılıyorsa, kişisel veriler yasasına uyulmalıdır. Teorik olarak, Roskomnadzor'un hakkı vardır ve engelleyebilir.

Bunu anlamak için kullanılan işaretler şunlardır:

  • alan adının Rusya Federasyonu veya bir konu ile ilişkili olması;
  • sitenin bir Rus versiyonu var;
  • mal veya hizmetler için ödeme ruble olarak yapılır, Rusya Federasyonu topraklarında teslimat mümkündür;
  • site içeriğinin tüketicileri Ruslardır;
  • Bu siteye yönlendiren Rusça bir reklam var.

Bu faktörlerin herhangi bir kombinasyonu varsa, veri sorumlusu, hukuka aykırı olsa dahi hukuka uymak zorundadır. yabancı şirket. Bu da belgelerin Rusya Federasyonu'nda erişilebilir ve anlaşılır olması gerektiği anlamına gelir. Roskomnadzor ve Rusya vatandaşlarının anlayabilmesi için Rusça olması yeterlidir. Ülke dışında ikamet etmeyen kişiler gizlilik yasamız kapsamında değildir.

Ziyaretçinin vatandaşlığının nasıl belirleneceği yasada açıklanmadı. Operatörlerden bu sorunu kendi başlarına çözmeleri istendi. Ve net bir pozisyon ve araç yoksa, Rusya topraklarında toplanan tüm kişisel verilerle ilgili olarak yasaya uymaya değer.

Aynı belgeleri çoğaltın yabancı Diller Ruslar mantıklı değil. Ancak bu kurallar Rusya'da icat edilmedi. Kişisel verilerin otomatik olarak işlenmesine ilişkin olarak bireylerin korunmasına ilişkin bir Avrupa Konseyi sözleşmesi bulunmaktadır. Bu nedenle, yabancılardan veri topluyorsanız, ikamet ettikleri ülkenin yasalarına nasıl uyduğunuzu düşünün.

Avrupa'da, kişisel verilerin işlenmesine ilişkin kuralların tek bir ihlali için yüz binlerce avro para cezasına çarptırılıyor. Rusya'da maksimum para cezası 1 Temmuz 2017 - 75 bin ruble.

Geri bildirim formundaki alanı “Adınız” yerine “Şirketiniz” olarak değiştirirsem Roskomnadzor'a kaydolamaz mıyım?

Kişisel Veriler Yasası, yalnızca gerçek kişilerin verilerini korur. Şirket verilerini kapsamaz. Ancak geri bildirim formunda belirtilen şey bir formalitedir. Site sahibinin ne tür verileri ve hangi amaçla topladığı önemlidir.

Gerçekte şirketin adı ve ofisin telefon numarası ise, bu tür bilgiler kanuna tabi değildir. Ama site toplarsa posta adresleri ve şirket çalışanlarının telefon numaraları, kendilerine posta göndermek veya üçüncü şahıslara aktarmak için hem bu çalışanlardan hem de Roskomnadzor'dan sorunlar olabilir.

Tüm kişisel veri operatörleri Roskomnadzor'a kaydolmalıdır. Sadece Sanatın 2. paragrafında listelenen durumlar için istisnalar. Kişisel verilerle ilgili kanunun 22.

Yani Facebook'ta bir gönderi yayınlıyorum ve arkadaşımdan bahsediyorum - yani verileri mi işliyorum? Gönderinin önbelleği telefonda saklanıyor, bu yüzden verileri mi saklıyorum? Ve eğer Twitter'da yeniden yayınlarsam, o zaman onları üçüncü bir tarafa da sağlarım. Ve onunla nasıl yaşanır?

Bu yasanın ihlali değildir. Bu durumda, kişisel veri operatörü sosyal ağ. Oraya kaydolan herkes, verilerinin yayınlanmasını, işlenmesini ve kullanılmasını kabul etti.

Tüm Facebook kullanıcıları

Cevap 18/04/2013 13:23

1. Kişisel verilerin aktarılmasının gerekli olduğu durumlar

Sanat uyarınca. Rusya Federasyonu İş Kanunu'nun 88'i, işveren, çalışanın kişisel verilerini üçüncü bir tarafa ifşa etmemelidir. Yazılı onay bu çalışan, bir çalışanın yaşamı ve sağlığına yönelik bir tehdidin önlenmesinin gerekli olduğu durumlar ve ayrıca Rusya Federasyonu İş Kanunu veya diğer federal yasalar tarafından öngörülen diğer durumlar hariç. Ayrıca işveren, çalışanın kişisel verilerini ticari amaçlarla yazılı rızası olmadan ifşa etme hakkına sahip değildir.
Bir çalışanın kişisel verileri ile ilgili bilgiler, yukarıdaki koşullara tabi olarak hem kurum çalışanlarına hem de yetkililere verilebilir. Devlet kurumları ve diğer kuruluşlar. İşveren, talebi yapan kişi yetkili değilse kişisel verileri vermeyi reddetmekle yükümlüdür. Federal yasa bu tür bilgileri almak veya talepte bulunan kişiye kendisi hakkında bilgi vermek için çalışanın yazılı rızası yoktur. Bu durumda yayınlanan yazılı bildirim kişisel verileri sağlamayı reddetme üzerine.

1.1. Çalışanların rızası olmaksızın kişisel verilerin aktarılabileceği kişi ve kuruluşlar

İşveren, işçinin kaza yapması durumunda ilgili kurum ve kuruluşlara, ciddi bir kaza (veya ölüm) halinde de yakınlarına bildirmekle yükümlüdür. Bu durumda, çalışanın kişisel verilerinin aktarımına rızası gerekli değildir (Rusya Federasyonu İş Kanunu'nun 228. Maddesi). Onaylanmış kuruluşların listesi ve bir kaza bildirimi göndermek için son tarihler Sanat tarafından belirlenir. Rusya Federasyonu İş Kanunu'nun 228.1'i.
İşveren ayrıca, denetim ve kontrol faaliyetleri yürütürken (Rusya Federasyonu İş Kanunu'nun 357. Maddesi) çalışanların kişisel verilerini devlet iş müfettişlerine vermekle yükümlüdür. Sanat uyarınca. 04/01/1996 tarihli Federal Yasanın 9'u N 27-FZ "Zorunlu sistemde bireysel (kişiselleştirilmiş) muhasebe hakkında emeklilik sigortasıİşveren, belirtilen verileri aşağıdakilere sağlamakla yükümlüdür: Emeklilik fonu Aşağıdaki durumlarda RF:
- zorunlu emeklilik sigortası sistemine bireysel (kişisel) kayıt için sigortalıların ilk kaydında;
- daha önce sahip olmayanları işe alırken sigorta deneyimi ve sigorta sertifikası vatandaşların zorunlu emeklilik sigortası veya onlarla medeni hukuk sözleşmeleri imzalarken, Rusya Federasyonu mevzuatına göre sigorta primlerinin tahsil edildiği ücretler için;
- tasfiye, yeniden yapılanma tüzel kişilik, faaliyetin bir birey tarafından sona erdirilmesi Bireysel girişimci, kaldırma kayıt kayıtları bir avukatın sigortacısı-işveren olarak, özel muayenehanede çalışan noter;
- kendisi için çalışan sigortalının zorunlu emeklilik sigortası sigorta sertifikasını kaybetmesi durumunda;
- Kendisi için çalışan sigortalılar hakkında iletilen bilgilerde değişiklik olması durumunda.
Sanatın 2. paragrafına göre. Bu Yasanın 11'inde, poliçe sahibi yılda bir kez, ancak en geç 1 Mart'a kadar Rusya Federasyonu Emeklilik Fonu'na, kendisi için çalışan her sigortalı hakkında şunları belirttiği bilgileri sunar:
1) bireysel bir kişisel hesabın sigorta numarası;
2) soyadı, adı ve soyadı;
3) istihdam tarihi (raporlama döneminde işe alınan bir sigortalı için) veya Rusya Federasyonu mevzuatına göre sigorta primlerinin tahsil edildiği ücret için bir medeni hukuk sözleşmesinin imzalandığı tarih;
4) işten çıkarılma tarihi (raporlama döneminde işten çıkarılan bir sigortalı için) veya Rusya Federasyonu mevzuatına göre sigorta primlerinin tahsil edildiği ücret için bir medeni hukuk sözleşmesinin feshedilme tarihi;
5) iş tecrübesine dahil olan faaliyet dönemleri Özel durumlar alanlarda, emek Uzak Kuzey ve bunlara eşit alanlar;
6) emeklilik katkı paylarının tahakkuk ettiği kazanç (gelir) miktarı;
7) tahakkuk eden emeklilik katkı paylarının miktarı;
smile8) emekli maaşlarının doğru hesaplanması için gerekli diğer bilgiler;
9) mesleki emeklilik sistemine tabi sigortalı için ödenen sigorta primlerinin tutarı;
10) dönemler emek faaliyeti mesleki emeklilik sistemine konu olan sigortalının mesleki deneyimine dahildir.
Sanat uyarınca. 22 Temmuz 1993 tarihli Vatandaşların Sağlığının Korunmasına İlişkin Mevzuatın Temelleri'nin 61'i (22 Temmuz 1993 N 5487-1'de Rusya Federasyonu Yüksek Mahkemesi tarafından onaylanmıştır), tıbbi bir bilgi oluşturan bilgilerin işverene aktarılması sırra vatandaşın veya onun muvafakati ile izin verilir. yasal temsilci. İstisna, bulaşıcı hastalıkların yayılması, toplu zehirlenme ve yaralanma tehdidi durumunda bir çalışanın sağlık durumu hakkındaki bilgilerin işverene aktarıldığı veya bir kişinin sağlığına zarar verdiğine inanmak için nedenlerin bulunduğu durumlardır. vatandaşın hukuka aykırı eylemleri sonucu ortaya çıkmıştır.
Federal yasalar, çalışanın rızası olmadan diğer kişisel verilerin aktarılması durumlarını sağlayabilir.

Kişisel verilerin öznenin rızası olmadan işlenmesi ancak kanunla öngörülen hallerde mümkündür. Bu tür bilgilerin usulüne aykırı olarak veya uygun bir gerekçe olmaksızın kullanılması, faillerin hukuki, iş, idari ve cezai sorumluluklara maruz kalmasına neden olur.

Konuyla ilgili kişisel bilgilerin üçüncü şahıslara aktarılmasına ve diğer işlemlere hangi durumlarda izin verilir?

27 Temmuz 2006 tarihli ve 152-FZ sayılı "Kişisel Veriler Hakkında Kanun", bir vatandaşın (öznenin) kişisel bilgilerinin işlenmesinin yasal olduğu 2 seçenek belirlemiştir:

  1. Bunun için rızasını aldıktan sonra.
  2. Aşağıdaki durumlarda onay alınmadan:
    • bir vatandaşın haklarını ihlal etmiyorsa, bilgilerin kişisel ve aile ihtiyaçları için başkaları tarafından kullanılması;
    • yapımı kişisel bilgi tabanına Arşiv Fonu Rusya;
    • bilgilerin atfedilmesine karar verilmesi devlet sırrı(içinde bu durum onun hakkındaki bilgileri sınıflandırmak için deneğin rızası gerekli değildir);
    • Rusya'nın koşullarını uygulamak için bilgileri kullanma ihtiyacı Uluslararası anlaşmalar ve yasalar;
    • bir kişinin yasal işlem sürecine ve bu katılımla bağlantılı olarak katılımı;
    • performans için kullan adli işlem veya belgenin hükümleri, yetkililer tarafından kabul icra işlemleri;
    • belediye veya devlet hizmetlerinden bir kişi tarafından alınması;
    • bir kişi tarafından kendisi hakkında kamuya açık bilgilerin tanınması;
    • öznenin taraf veya lehtar olarak hareket ettiği bir sözleşmenin akdedilmesi ve ifası;
    • bir kişinin yaşamı, sağlığı, önemli çıkarları için bir tehdit olması durumunda rıza almanın imkansızlığı;
    • hakların kullanılması, operatörün (bilgilerin işlenmesi) veya üçüncü tarafların çıkarlarının sağlanması, sosyal açıdan önemli hedeflere ulaşılması;
    • uygulama profesyonel aktivite gazeteciler ve medya yaratıcı aktivite insan haklarını ihlal etmediğinde;
    • siyasi kampanyalar, malların, hizmetlerin ve eserlerin pazarda tanıtılması haricinde, bir kişi hakkında kişisellikten arındırılmış bilgilerin araştırma ve istatistiksel amaçlarla kullanılması;
    • zorunlu açıklama ihtiyacı, yasanın talimatlarına dayalı olarak verilerin yayınlanması (örneğin, memurların gelirleriyle ilgili bilgileri açıklamaları gerekir).

Konunun onayı alınmadan bilgilerin işlenmesi (depolama, dağıtım vb.) prosedürü

Vatandaşlarla ilgili kişisel verilerin operatörleri tarafından özel izinleri olmaksızın işlenmesine ilişkin genel prosedür aşağıdaki gibidir:

  1. Varsa operatör yasal gerekçeler bilgi alır. Bir kişiye bilgilerinin işlenmesinin başlangıcı hakkında bilgi verilmesi gerekli değildir, ancak bazı durumlarda bildirim Roskomnadzor'a gönderilir.
  2. Operatör yürütür gerekli eylemler(toplar, kaydeder, iletir, açıklar, vb.). Sanatta belirtildiği gibi. 152-FZ sayılı Kanun'un 5'inde, kullanıcının eylemleri işleme amacı ile sınırlıdır.
  3. Hedeflere ulaşıldıktan sonra veya kullanım ihtiyacı sona erdikten sonra veriler yok edilir veya kişisellikten arındırılır.

Ek bir aşama, bir kişinin kendisi hakkındaki bilgileri kullanmanın yasallığı konusunda meydan okuması olabilir. Anlaşmazlık çözme organı (bir vatandaşın seçimine göre) bir mahkeme veya Roskomnadzor'dur. Çatışmanın çözümü sırasında, operatör, verileri vatandaşın onayı olmadan veya yasağına aykırı olarak kullanmasına izin veren koşulların varlığına dair kanıt sunar.

Operatörün sorumluluğu

Operatör tarafından kişisel bilgilerin işlenmesine ilişkin prosedür ve koşulların ihlali durumunda, çeşitli sorumluluk türlerinden sorumlu tutulabilir:

sorumluluk türü

İhlal örneği

ceza

Yasal dayanak

sivil

Ahlaki zarar verme

Tazminatın ödenmesi

Sanat. 152-FZ sayılı Kanunun 24, madde. 1099 TL

Disiplin

ifşa kişisel bilgi başka bir işçi hakkında

işten çıkarma

Bilgilerin işlenmesinde yasanın ihlali

Disiplin ve mali sorumluluk getirmek

Yönetim

Veri toplama amacına aykırı olarak veri işlenmesi
  • vatandaşlar - 1000-3000 ruble;
  • yetkililer - 5.000-10.000 ruble;
  • kuruluşlar - 30.000-50.000 ruble.

Bölüm 1 Sanat. 13.11 İdari Kod

Adli

Gizlilik ihlali

Alternatif yaptırım:

  • 200.000 rubleye kadar para cezası,
  • 360 saate kadar zorunlu çalışma,
  • düzeltme - 1 yıla kadar,
  • zorunlu - 2 yıla kadar,
  • 2 yıla kadar hapis vb.

Bölüm 1 Sanat. 137 İngiltere

Bir vatandaşa kendisi hakkında bilgi verirken bir memurun reddetmesi veya aldatması

Para cezası (200.000 ruble veya bir buçuk yıla kadar gelir) veya uygulama hakkından yoksun bırakma belirli faaliyetler 2-5 yıl içinde

Erişim bilgisayar bilgisi hakkı olmadan

Para cezası (200.000 ruble veya bir buçuk yıla kadar gelir), ıslah emeği bir yıla kadar veya zorla çalıştırma 2 yıla kadar kısıtlama veya hapis cezası

Bölüm 1 Sanat. 272 İngiltere

Bu nedenle, işletmeciye kanunen böyle bir hak verilmişse, bilgilerin öznenin izni olmadan işlenmesi mümkündür. Bu durumda bilgilerin kullanımı, operatörün hedeflerine ulaşmak için gerekli olduğu ölçüde gerçekleştirilmelidir, ardından veriler imha edilir veya kişisellikten arındırılır. Kişisel verilerinin hukuka aykırı olarak kullanıldığına inanan kişi, mahkemeye veya Roskomnadzor'a başvurma hakkına sahiptir.

Haklarınızı bilmiyor musunuz?

Doğrudan veya dolaylı olarak kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilir (bundan böyle 152 Sayılı Kanun olarak anılacak olan 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Yasanın “Kişisel Veriler Hakkında” 3. maddesinin 1. fıkrası -FZ).

Kişisel veriler, soyadı, ad, soyadı, yıl, ay, doğum tarihi ve yeri, adres, aile, sosyal ve mülkiyet durumu, eğitim, meslek, gelir ve belirli bir kişi hakkındaki diğer bilgileri içerir. Bir çalışana ödenen ücret miktarı, kişisel verilerine atıfta bulunur (7 Şubat 2014 tarih ve 08KM-3681 sayılı Roskomnadzor mektubu).

Ücretler hakkında bilgi çemberi

"" terimi yalnızca resmi maaş veya tarife oranı aynı zamanda kendisine ödenmesi gereken tazminat ve teşvik ödemeleri (ödenekler, ek ödemeler, ikramiyeler) (129. maddenin 1. bölümü) İş Kanunu RF).

Kişisel verilere erişim

Kişisel veriler, sınırlı erişime sahip bilgileri ifade eder (152-FZ sayılı Kanun'un 2, 3, 5 ve 6. Maddeleri).

Hangi durumlarda kişisel veriler üçüncü bir tarafa ifşa edilebilir?

Kişisel veriler, bir çalışanın yaşamı ve sağlığına yönelik bir tehdidin önlenmesi gerektiğinde ve İş Kanunu veya diğer federal yasalar tarafından belirlenen diğer durumlarda (Rusya Federasyonu İş Kanunu'nun 88. Maddesi, Madde 7) üçüncü taraflara sağlanır. 152-FZ Sayılı Kanun).

Kişisel veriler hangi durumlarda üçüncü kişilere aktarılamaz

12/14/2012 tarihli açıklamanın 4. paragrafında, Roskomnadzor uzmanları, bir çalışan hakkında kişisel bilgi sağlamanın imkansız olduğu çeşitli durumları analiz etti.

Bu nedenle, aşağıdaki durumlarda çalışanla ilgili verileri aktaramazsınız:

Talep, federal yasa tarafından bu tür bilgileri almaya yetkili olmayan bir kişi veya kuruluş tarafından yapılmıştır. Örneğin, kişisel verileri talep eden kişi, devlet müfettişi işçi, savcı, kolluk veya güvenlik görevlisi vb.;

Çalışanın, talepte bulunan kişiye kendisi hakkında bilgi vermesi için yazılı bir onayı yoktur. Çalışan, kişisel bilgilerinin herhangi bir yakınına aktarılmasına rıza göstermemişse, işveren veya temsilcisi, çalışanın kişisel verilerini eşine aktarma hakkına sahip değildir.

Bir eşin, kendisine kocasının maaşı hakkında bilgi verme zorunluluğu da, çalışanın rızası olmadan kişisel bilgilerin verilmesi için bir dayanak değildir. Bu, Roskomnadzor uzmanları tarafından 7 Şubat 2014 tarihli ve 08KM-3681 sayılı bir mektupta da onaylanmıştır.

Kişisel verilerin korunması ve bunların ifşası için sorumluluk

Mevzuat belirler Farklı çeşit kişisel verilerin ifşası için sorumluluk. Muhasebeciler, sahip oldukları resmi görevlerşirket çalışanlarının kişisel verilerine (özellikle, ücretler).

disiplin sorumluluğu

Çalışanın kişisel verileri şirket tarafından gizli tutulmazsa, yönetici onu kınama veya hatta işten çıkarma hakkına sahiptir (Rusya Federasyonu İş Kanunu'nun 81. maddesinin 1. bölümünün 6. maddesi, 90 ve 192. maddeler).

Ancak, muhasebeci, başka bir çalışanın kişisel verilerinin ifşası için İş Kanunu'nun 81. maddesinin 1. bölümünün 6. paragrafına dayanarak mahkemede itiraz etmeye karar verirse, şirket yönetiminin aşağıdakileri kanıtlaması gerekecektir:

Uzlaşma bölümünün görevden alınan muhasebecisinin hukuka aykırı olarak ifşa ettiği bilgilerin başka bir çalışanın kişisel verileriyle ilgili olması;

Çalışan tarafından emek görevlerinin yerine getirilmesiyle bağlantılı olarak tanındılar;

İşten çıkarılan çalışan, bu tür bilgileri açıklamama yükümlülüğü verdi.

Bu, Plenum kararının 43. paragrafında belirtilmiştir. Yargıtay 17 Mart 2004 tarihli RF No. 2.

İdari sorumluluk

Çalışanların kişisel verileri ile ilgili bilgilerin açıklanması için faile yaptırım uygulanabilir. idari ceza Rusya Federasyonu İdari Suçlar Kanunu'nun 13.14. Maddesinde öngörülen miktarda, yani 4.000 ila 5.000 ruble.

Bilgi vermeyi doğru bir şekilde reddetme

Şirket, yerel bir belge geliştirmeli ve onaylamalıdır. normatif eylemçalışanların kişisel verilerinin işlenmesi, saklanması, kullanılması ve korunması prosedürünü düzenleyen - çalışanların kişisel verilerine ilişkin düzenleme (Madde 8, Madde 86, Madde 7 ve 8, Rusya İş Kanunu'nun 87 ve 88. Federasyon).

İçinde, özellikle, çalışanların kişisel verilerinin üçüncü taraflara aktarılmasına ilişkin prosedürün belirlenmesi gerekmektedir.

Yazılı talep

Çalışanların kişisel verileriyle ilgili düzenlemede, bir çalışanın kişisel verilerinin sağlanmasını sözlü olarak talep eden kişiyi belirlemek zor olduğundan, şirketin kişisel verilerin sağlanması için yalnızca yazılı talepleri dikkate almasının sağlanması tavsiye edilir. çekici. Aşağıdaki örnek bir isteğe bakın.

Çalışanın yazılı onayı

Çalışanların kişisel verileri ile ilgili hükmün ayrı bir paragrafında, akraba veya aile bireylerine ancak çalışanın yazılı rızası ile (kanunlarda aksi belirtilmedikçe) bilgi verilebileceği belirtilmelidir.

Lütfen dikkat: çalışanın, kişisel verilerini hangi kişiye (kuruluşa) vermeye hazır olduğunu belirleme hakkı vardır. Çalışanın eşinin bu kişilerin listesinde yer alması zorunlu değildir. Bir çalışanın kişisel verilerinin sağlanmasına ilişkin yazılı onayının bir örneği, aşağıya bakınız.

Sorumluluk Reddi Bildirimi

Kişisel verilerle ilgili düzenleme aynı zamanda prosedürü de açıklamalıdır. yetkili Temsilcilerşirket, eğer yasa gereği talebe olumlu cevap verilemiyorsa. Bu durumda muhasebeci, çalışanın kişisel verilerini başvuran kişiye vermeyi reddettiğini yazılı olarak bildirir.

Bildirimde, çalışanların kişisel verilerine ilişkin İş Kanunu'nun 88. maddesine ve iç yönetmeliğin ilgili paragrafına atıfta bulunulabilecek. Aşağıdaki örnek bildirime bakın.