تتم معالجة البيانات الشخصية لهذا الغرض. الأساس القانوني والحاجة لمعالجة البيانات الشخصية في المنظمة

03.03.2020

تحدد اللائحة الخاصة بمعالجة البيانات الشخصية وحمايتها إجراءات جمع وتجميع وتخزين واستخدام وحذف وما إلى ذلك من المعلومات التي تحتوي على معلومات حول موظفي المؤسسة. يجب أن تصف الوثيقة الإجراء الخاص بنقل PD إلى أطراف ثالثة، وميزات معالجة PD الآلية وغير الآلية، وإجراءات الوصول إلى PD، وإجراءات تنظيم الرقابة الداخلية والمسؤولية عن الانتهاكات أثناء معالجة PD.

كيفية وضع لائحة بشأن معالجة وحماية البيانات الشخصية

يتم تطوير الوثيقة وفقًا لتشريعات الاتحاد الروسي بشأن البيانات الشخصية والوثائق التنظيمية والمنهجية للهيئات التنفيذية لسلطة الدولة بشأن قضايا أمان PD عند معالجتها في أنظمة معلومات PD.

تتكون لائحة حماية البيانات الشخصية عادةً من 11 قسمًا:

الأحكام العامة.
أهداف وغايات معالجة PD.
البيانات الشخصية التي تتم معالجتها في ISPD (الاسم الكامل، تاريخ الميلاد، رقم هاتف الاتصال، عنوان التسجيل، عنوان الإقامة الفعلي).
الوصول إلى PD.
المتطلبات الأساسية لحماية البيانات الشخصية.
الموافقة على معالجة PD.
حقوق الموضوع فيما يتعلق بالبيانات الشخصية التي يعالجها المشغل.
حقوق والتزامات مشغل ISPDn.
إجراءات معالجة وحماية البيانات الشخصية.
خصوصيات معالجة البيانات الشخصية لموظفي المشغل.
المسؤولية عن انتهاك هذا الحكم.

تنطبق الأحكام المتعلقة بمعالجة البيانات الشخصية وحمايتها على جميع عمليات جمع البيانات الشخصية وتنظيمها وتراكمها وتخزينها وتوضيحها واستخدامها وتوزيعها (بما في ذلك النقل) وإلغاء طابعها الشخصي وحظرها وتدميرها، والتي تتم باستخدام أدوات التشغيل الآلي وبدونها. يستخدم.

موضوعات البيانات الشخصية

تشمل موضوعات التطوير المهني ما يلي:

موظفو المشغل.
المرشحين للتوظيف.
العملاء (مستهلكو خدمات المشغلين).
رواد الأعمال الأفراد هم الأطراف المقابلة للمشغل.
عملاء المنظمات والأطراف المقابلة للمشغل (الخدمات المقدمة لعملاء الشركات).
الأفراد الآخرون الذين تتم معالجة بياناتهم الشخصية بواسطة المشغل.

تدخل اللائحة المتعلقة بمعالجة البيانات الشخصية وحمايتها حيز التنفيذ منذ لحظة الموافقة عليها وهي صالحة إلى أجل غير مسمى حتى يتم استبدالها بلائحة جديدة. يجب أن يكون جميع موظفي المنظمة على دراية بهذه الوثيقة ضد التوقيع.



(الاسم الكامل للمشغل)


"موافقة"
رجل أعمال فردي
(مسمى وظيفي)	(توقيع شخصي)	(الاسم الكامل)
№

اللوائح المتعلقة بمعالجة وحماية البيانات الشخصية

الأحكام العامة

1.1.

تم تطوير هذه اللائحة وفقًا لتشريعات الاتحاد الروسي بشأن البيانات الشخصية (المشار إليها فيما يلي باسم PD) والوثائق التنظيمية والمنهجية للهيئات التنفيذية لسلطة الدولة بشأن قضايا أمن البيانات الشخصية عند معالجتها في أنظمة معلومات PD (المشار إليها فيما يلي باسم PD) مثل ISPD).

1.2.

لأغراض هذه اللائحة، تستخدم المصطلحات التالية:

البيانات الشخصية (PD) - أي معلومات تتعلق بفرد محدد أو يمكن التعرف عليه بشكل مباشر أو غير مباشر (موضوع PD)؛

المشغل - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد يقوم، بشكل مستقل أو بالاشتراك مع أشخاص آخرين، بتنظيم و (أو) تنفيذ معالجة البيانات الشخصية، وكذلك تحديد أغراض معالجة البيانات الشخصية وتكوين البيانات الشخصية البيانات المراد معالجتها، والإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية؛

معالجة PD - أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي أو بدون استخدام هذه الأدوات مع PD، بما في ذلك التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخراج والاستخدام ، النقل (التوزيع، التوفير، الوصول)، إلغاء الطابع الشخصي، الحظر، الحذف، تدمير البيانات الشخصية؛

المعالجة الآلية للبيانات الشخصية - معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر؛

توزيع البيانات الشخصية - الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لعدد غير محدد من الأشخاص؛

توفير PD - الإجراءات التي تهدف إلى الكشف عن PD لشخص معين أو دائرة معينة من الأشخاص؛

حظر PD - التوقف المؤقت لمعالجة PD (باستثناء الحالات التي تكون فيها المعالجة ضرورية لتوضيح PD)؛

تدمير PD - الإجراءات التي نتيجة لذلك يصبح من المستحيل استعادة محتوى PD في ISPD و/أو نتيجة لتدمير الوسائط المادية لـ PD؛

تبدد شخصية PD - الإجراءات التي يصبح من المستحيل بموجبها تحديد ملكية PD لموضوع PD محدد دون استخدام معلومات إضافية؛

نظام معلومات البيانات الشخصية (PDIS) - مجموعة من تقنيات المعلومات والوسائل التقنية الموجودة في قواعد بيانات PD وضمان معالجتها؛

نقل البيانات الشخصية عبر الحدود - نقل البيانات الشخصية إلى أراضي دولة أجنبية إلى سلطة دولة أجنبية أو فرد أجنبي أو كيان قانوني أجنبي.

1.3.

تحدد هذه اللائحة إجراءات وشروط معالجة PD في (المشار إليه فيما يلي باسم المشغل)، بما في ذلك إجراءات نقل PD إلى أطراف ثالثة، وميزات معالجة PD الآلية وغير الآلية، وإجراءات الوصول إلى PD، وPD نظام الحماية، إجراءات تنظيم الرقابة الداخلية والمسؤولية عن الانتهاكات أثناء معالجة PD، أسئلة أخرى.

1.4.

تنطبق هذه اللائحة على جميع عمليات جمع البيانات الشخصية وتنظيمها وتراكمها وتخزينها وتوضيحها واستخدامها وتوزيعها (بما في ذلك النقل) وإلغاء طابعها الشخصي وحظرها وتدميرها، والتي يتم تنفيذها باستخدام أدوات التشغيل الآلي وبدون استخدامها.

1.5.

تدخل هذه اللائحة حيز التنفيذ منذ لحظة موافقة المشغل عليها وتكون صالحة إلى أجل غير مسمى حتى يتم استبدالها بلائحة جديدة.

1.6.

يتم إجراء جميع التغييرات على اللوائح بأمر.

1.7.

يجب أن يكون جميع موظفي المشغل على دراية بهذه اللوائح عند التوقيع.

أهداف وغايات معالجة PD

2.1.

يجب أن تقتصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة. لا يُسمح بمعالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.

2.2.

لا يجوز دمج قواعد البيانات التي تحتوي على بيانات شخصية، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض.

2.3.

فقط البيانات الشخصية التي تلبي أغراض معالجتها هي التي تخضع للمعالجة.

2.4.

2.5.

قد تتم معالجة البيانات الشخصية لموظفي المشغل فقط لغرض ضمان الامتثال للقوانين واللوائح الأخرى، ومساعدة الموظفين في التوظيف والتدريب والترقية، وضمان السلامة الشخصية للموظفين، ومراقبة كمية ونوعية العمل المنجز و ضمان سلامة ممتلكات المشغل.

2.6.

الأغراض الرئيسية لمعالجة PD هي:

الأغراض الإضافية لمعالجة البيانات الشخصية هي: .

2.7.

يوفر ISPDn حلولاً للمهام التالية: .

البيانات الشخصية التي تتم معالجتها في ISPDn

3.1.

تقوم ISPD بمعالجة البيانات الشخصية لموضوعات البيانات الشخصية التالية:

3.1.1.

موظفو المشغل؛

3.1.2.

العملاء (مستهلكو خدمات المشغل)؛

3.1.3.

رواد الأعمال الأفراد - الأطراف المقابلة للمشغل؛

3.1.4.

عملاء المنظمات والأطراف المقابلة للمشغل (خدمة عملاء الشركات)؛

3.2.

يمكن مراجعة هذه القائمة حسب الضرورة.

3.3.

تشمل البيانات الشخصية لمواضيع PD ما يلي:

3.4.

يتم تشكيل قوائم كاملة بالبيانات الشخصية المعالجة في قائمة البيانات الشخصية الخاضعة للحماية في نظام معلومات المشغل.

الوصول إلى البيانات الشخصية

4.1.

موظفو المشغل الذين، بسبب واجباتهم الرسمية، يعملون باستمرار مع البيانات الشخصية، يحصلون على إمكانية الوصول إلى فئات البيانات الشخصية المطلوبة لفترة أداء واجباتهم الرسمية بناءً على قائمة الأشخاص المصرح لهم بالعمل مع البيانات الشخصية، والتي تمت الموافقة عليها من قبل رئيس المشغل. تم تجميع القائمة على أساس مفهوم أمن المعلومات وسياسة أمن المعلومات.

4.2.

يجب تحديث قائمة الأشخاص الذين لديهم حق الوصول إلى البيانات الشخصية لنظام المعلومات.

4.3.

أنشأ المشغل إجراء للسماح بالوصول إلى البيانات الشخصية. لا يُسمح لموظفي المشغل بالحصول على بيانات شخصية للعمل إلا بالقدر والمدى اللازمين لأداء واجباتهم الرسمية بناءً على قرار المدير

4.4.

يمكن لموظف المشغل الحصول على إذن مؤقت أو لمرة واحدة للعمل مع البيانات الشخصية بسبب الاحتياجات الرسمية بموافقة المدير.

4.5.

يُحظر الوصول إلى PD من قبل أطراف ثالثة ليست موظفين لدى المشغل دون موافقة موضوع PD، باستثناء وصول موظفي السلطات التنفيذية، والذي يتم تنفيذه كجزء من تدابير الرقابة والإشراف على تنفيذ التشريعات، تنفيذ مهام وصلاحيات الجهات الحكومية ذات العلاقة. يتم تقديم المعلومات بناءً على طلب أو طلب من سلطة حكومية بمعرفة رئيس المشغل.

4.6.

إذا كان موظف في مؤسسة خارجية يحتاج إلى الوصول إلى PD الخاص بالمشغل، فمن الضروري أن تنص الاتفاقية مع منظمة الطرف الثالث على شروط سرية PD والتزام منظمة الطرف الثالث وموظفيها بالامتثال لـ متطلبات التشريعات الحالية في مجال حماية الأشخاص ذوي الإعاقة. بالإضافة إلى ذلك، في حالة الوصول إلى البيانات الشخصية من قبل أشخاص ليسوا موظفين في المشغل، يجب الحصول على موافقة أصحاب البيانات الشخصية على تقديم بياناتهم الشخصية إلى أطراف ثالثة. لا تكون الموافقة المحددة مطلوبة إذا تم تقديم PD لغرض تنفيذ عقد مدني أبرمه المشغّل مع موضوع PD.

4.7.

يتم إنهاء وصول موظف المشغل إلى البيانات الشخصية من تاريخ انتهاء علاقة العمل، أو تاريخ التغيير في مسؤوليات وظيفة الموظف و/أو استبعاد الموظف من قائمة الأشخاص الذين يحق لهم الوصول إلى البيانات الشخصية. في حالة الفصل، يجب نقل جميع الوسائط التي تحتوي على بيانات شخصية، والتي كانت، وفقًا للواجبات الرسمية، تحت تصرف الموظف أثناء العمل، إلى المسؤول المناسب.

المتطلبات الأساسية لحماية البيانات الشخصية

5.1.

عند معالجة البيانات الشخصية في نظام المعلومات يجب التأكد مما يلي:

أ) تنفيذ تدابير تهدف إلى منع الوصول غير المصرح به إلى البيانات الشخصية و/أو نقلها إلى الأشخاص الذين ليس لديهم الحق في الوصول إلى هذه المعلومات؛

ب) الكشف في الوقت المناسب عن حقائق الوصول غير المصرح به إلى البيانات الشخصية؛

ج) منع التأثير على الوسائل التقنية للمعالجة الآلية للبيانات الشخصية، مما قد يؤدي إلى تعطيل عملها؛

د) إمكانية الاستعادة الفورية للبيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها؛

ه) التحكم المستمر في ضمان مستوى أمان PD.

5.2.

يلتزم المشغل باتخاذ الإجراءات القانونية والتنظيمية والتقنية اللازمة وغيرها من التدابير لضمان أمن البيانات الشخصية.

5.3.

لتطوير متطلبات الأمان وتنفيذ نظام أمان البيانات الشخصية، قام المشغل بتطوير "نموذج التهديدات التي يتعرض لها أمن البيانات الشخصية عند معالجتها في ISPD" استنادًا إلى الوثيقة التنظيمية والمنهجية الصادرة عن FSTEC في روسيا "النموذج الأساسي لـ التهديدات التي تهدد أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية."

5.4.

المشغل وفقًا للوثيقة الحاكمة للوكالات الحكومية - مرسوم حكومة الاتحاد الروسي بتاريخ 1 نوفمبر 2012 رقم 1119 "بشأن الموافقة على متطلبات حماية البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية"تم تنفيذ تصنيف ISPD الخاص بالمشغل.

5.5.

قامت اللجنة بإعداد شهادة تصنيف ISPD التي تمت معالجتها باستخدام أدوات التشغيل الآلي:


قانون تصنيف ISPD	تاريخ تصنيف ISPD	مستوى الأمان المطلوب

5.6.

قام المشغل، على أساس تقرير التحقق من ISPD ووفقًا للوثيقة التنظيمية والمنهجية الصادرة عن FSTEC في روسيا "التدابير الرئيسية للتنظيم والدعم الفني لأمن البيانات الشخصية المعالجة في أنظمة معلومات البيانات الشخصية"، بتطوير ونفذت مجموعة من التدابير لحماية وضمان أمن البيانات الشخصية ("خطة العمل") لضمان أمن البيانات الشخصية").

5.7.

يستخدم المشغل الوسائل التقنية والبرامج لمعالجة البيانات الشخصية وحمايتها. يتم أيضًا الاحتفاظ بسجل لوسائل حماية البيانات الشخصية.

5.8.

يحتفظ المشغل بسجل لمحاسبة وتخزين وسائط التخزين القابلة للإزالة.

5.9.

توجد الوسائل التقنية المذكورة أعلاه لـ ISPD في مكتب ومقر المشغل.

5.10.

يجب أن يكون جميع الأشخاص المصرح لهم بالعمل مع PD، وكذلك أولئك المرتبطين بالتشغيل والدعم الفني لـ ISPD، على دراية بمتطلبات هذه اللائحة عند التوقيع، ويجب عليهم أيضًا التوقيع على "اتفاقية ضمان سرية البيانات الشخصية بواسطة موظفو المشغل"، الواردة في ملحق هذه اللائحة.

5.11.

قام المشغّل بتنظيم عملية تدريب لاستخدام وسائل حماية البيانات الشخصية التي يديرها المشغّل. يوصى بالتدريب في هذا المجال للأشخاص الذين لديهم إمكانية الوصول المستمر إلى البيانات الشخصية، وللأشخاص الذين يستخدمون أدوات الأجهزة والبرامج لأنظمة المعلومات وأنظمة أمن المعلومات. يجب أن يخضع الأشخاص المسؤولون عن تشغيل أدوات أمن المعلومات ISPD لتدريب إلزامي.

5.12.

يلتزم الموظفون بإخطار مسؤول المشغل المعني على الفور بفقدان أو نقص وسائط التخزين التي تشكل البيانات الشخصية، بالإضافة إلى أسباب وشروط التسرب المحتمل للبيانات الشخصية. إذا حاول أشخاص غير مصرح لهم الحصول على بيانات شخصية من الموظف تمت معالجتها من قبل المشغّل، فقم بإخطار المسؤول المعني في المشغّل على الفور.

الموافقة على معالجة PD

6.1.

يقرر موضوع التطوير المهني تقديم التطوير المهني الخاص به ويوافق على معالجته بحرية، وبإرادته الحرة ولمصلحته الخاصة. يجب أن تكون الموافقة على معالجة البيانات الشخصية محددة ومستنيرة وواعية. يمكن إعطاء الموافقة على معالجة البيانات الشخصية من قبل صاحب البيانات الشخصية أو ممثله بأي شكل من الأشكال يسمح بتأكيد حقيقة استلامها، ما لم ينص تشريع الاتحاد الروسي على خلاف ذلك. إذا تم استلام الموافقة على معالجة PD من ممثل موضوع PD، يتم التحقق من صلاحيات هذا الممثل لإعطاء الموافقة نيابة عن موضوع PD من قبل المشغل.

6.2.

يتم الحصول على موافقة كتابية لمعالجة البيانات الشخصية من قبل موظف المشغل، عند استلام البيانات الشخصية من موضوع البيانات الشخصية، عن طريق إصدار موافقة كتابية في النموذج الذي وضعه المشغل ISPD.

حقوق الموضوع فيما يتعلق بالبيانات الشخصية التي يعالجها المشغل

7.1.

يحق لموضوع PD:

لتلقي معلومات من المشغل فيما يتعلق بمعالجة بياناته الشخصية. يجب أن يتم تقديم المعلومات إلى موضوع PD من قبل المشغّل في شكل يمكن الوصول إليه، ويجب ألا تحتوي على PD المتعلقة بموضوعات PD الأخرى، ما لم تكن هناك أسباب قانونية للكشف عن مثل PD. قائمة المعلومات وإجراءات الحصول على المعلومات منصوص عليها في التشريع الحالي للاتحاد الروسي؛

مطالبة المشغل بتوضيح بياناته الشخصية أو حظرها أو إتلافها إذا كانت البيانات الشخصية غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو ليست ضرورية للغرض المعلن للمعالجة، وكذلك اتخاذ التدابير المنصوص عليها في تشريعات الاتحاد الروسي الاتحاد لحماية حقوقهم؛

مع مراعاة الحصول على موافقة كتابية مسبقة عند معالجة البيانات الشخصية بغرض الترويج للسلع والأعمال والخدمات في السوق عن طريق إجراء اتصالات مباشرة مع المستهلكين المحتملين باستخدام الاتصالات، وكذلك لأغراض الدعاية السياسية؛

مع مراعاة شرط الموافقة الكتابية عند اتخاذ قرارات المشغّل، على أساس المعالجة الآلية الحصرية لـ PD، والتي تؤدي إلى عواقب قانونية فيما يتعلق بموضوع PD أو تؤثر بطريقة أخرى على حقوقه ومصالحه المشروعة؛

تقديم اعتراضات على قرارات المشغل بناءً فقط على المعالجة الآلية لبياناته الشخصية والعواقب القانونية المحتملة لمثل هذا القرار؛

استأنف تصرفات المشغل أو تقاعسه أمام الهيئة المعتمدة لحماية حقوق أصحاب البيانات الشخصية أو في المحكمة.

حقوق والتزامات مشغل ISPDn

8.1.

يحق لمشغل ISPDn:

8.1.1.

تكليف شخص آخر بمعالجة PD بموافقة موضوع PD، ما لم ينص القانون الفيدرالي على خلاف ذلك، على أساس اتفاقية مبرمة مع هذا الشخص، بما في ذلك عقد الولاية أو البلدية، أو من خلال اعتماد قانون مماثل من قبل هيئة الدولة أو البلدية.

8.1.2.

إذا سحب موضوع PD موافقته على معالجة PD، فاستمر في معالجة PD دون موافقة موضوع PD إذا كانت هناك أسباب محددة في تشريعات الاتحاد الروسي.

8.1.3.

رفض موضوع البيانات الشخصية لتلبية الطلب المتكرر للحصول على معلومات لا تتوافق مع الشروط المنصوص عليها في تشريعات الاتحاد الروسي. ويجب أن يكون لهذا الرفض دوافع. يقع الالتزام بتقديم دليل على صحة رفض تلبية الطلب المتكرر على عاتق المشغل.

8.1.4.

تحديد بشكل مستقل تكوين وقائمة التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.

يلتزم مشغل ISPD بما يلي:

8.2.1.

قبل البدء في معالجة PD، يلتزم المشغل بإخطار الهيئة المعتمدة لحماية حقوق موضوعات PD بنيته في معالجة PD، باستثناء الحالات المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.2.

عند الوصول إلى PD، لا تكشف عن PD لأطراف ثالثة أو توزع PD دون موافقة موضوع PD، ما لم ينص القانون الفيدرالي على خلاف ذلك.

8.2.3.

تقديم دليل على الحصول على موافقة الشخص المستهدف لمعالجة الطلب الشخصي الخاص به أو دليل على وجود أسباب قانونية لمعالجة الطلب الشخصي دون موافقة الشخص المستهدف.

8.2.4.

قبل بدء نقل البيانات الشخصية عبر الحدود، تأكد من أن الدولة الأجنبية التي يتم نقل البيانات الشخصية إلى أراضيها توفر الحماية الكافية لحقوق أصحاب البيانات الشخصية.

8.2.5.

بناءً على طلب الشخص المستهدف، أوقف معالجة المنتج الخاص به من أجل الترويج للسلع والأعمال والخدمات في السوق عن طريق إجراء اتصالات مباشرة مع المستهلكين المحتملين باستخدام الاتصالات، وكذلك لأغراض الدعاية السياسية.

8.2.6.

اشرح لـ PD الخاضع للحماية الإجراء الخاص باتخاذ القرار استنادًا فقط إلى المعالجة الآلية لـ PD الخاص به والعواقب القانونية المحتملة لمثل هذا القرار، وقم بإتاحة الفرصة للاعتراض على مثل هذا القرار، واشرح أيضًا الإجراء الخاص بالـ PD الخاضع للحماية حقوقه ومصالحه المشروعة.

يلتزم المشغل بدراسة الاعتراض خلال ثلاثين يوما من تاريخ استلامه وإخطار مدير المشروع بنتائج النظر في هذا الاعتراض.

8.2.7.

عند جمع PD، قم بتزويد موضوع PD، بناءً على طلبه، بالمعلومات المنصوص عليها في تشريعات الاتحاد الروسي.

إذا كان توفير بيانات القدرة التنافسية إلى المشغّل فيما يتعلق بموضوع بيانات الأداء إلزامياً وفقاً للقانون الاتحادي، فإن المشغّل ملزم بأن يشرح لمسؤول بيانات الأداء الخاضع للعواقب القانونية المترتبة على رفض تقديم بيانات الشخصية الخاصة به.

8.2.8.

إذا لم يتم استلام PD من موضوع PD، فإن المشغل، باستثناء الحالات المنصوص عليها في تشريعات الاتحاد الروسي، قبل معالجة هذا PD، يزود موضوع PD بالمعلومات التالية:

1) الاسم أو اللقب والاسم الأول والعائلي وعنوان المشغل أو ممثله؛

2) الغرض من معالجة PD وأساسها القانوني؛

3) المستخدمين المستهدفين للبيانات الشخصية؛

4) حقوق موضوع البيانات الشخصية المنصوص عليها في هذا القانون الاتحادي؛

5) مصدر الحصول على PD.

8.2.9.

اتخاذ التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.11.

عند جمع PD باستخدام شبكات المعلومات والاتصالات، قم بنشر وثيقة في شبكة المعلومات والاتصالات ذات الصلة تحدد سياستها فيما يتعلق بمعالجة PD، ومعلومات حول المتطلبات المنفذة لحماية PD، وكذلك التأكد من القدرة على الوصول إلى البيانات المحددة وثيقة باستخدام وسائل شبكة المعلومات والاتصالات المناسبة.

8.2.12.

تقديم المستندات والقوانين المحلية المنصوص عليها في تشريعات الاتحاد الروسي، و/أو تأكيد اعتماد التدابير اللازمة والكافية لضمان الوفاء بالتزامات مشغل IPDN، بناءً على طلب الهيئة المعتمدة لحماية حقوق موضوعات PD.

8.2.13.

عند معالجة PD، قم باتخاذ الإجراءات القانونية والتنظيمية والتقنية اللازمة أو التأكد من اعتمادها لحماية PD من الوصول غير المصرح به أو العرضي إليه أو تدميره أو تعديله أو حظره أو نسخه أو توفيره أو توزيعه PD، وكذلك من الإجراءات غير القانونية الأخرى في العلاقة مع PD.

8.2.14.

قم بإبلاغ، بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي، موضوع PD أو ممثله بالمعلومات المجانية حول توفر PD المتعلق بموضوع PD ذي الصلة، وكذلك إتاحة الفرصة للتعرف على PD عند التقدم بطلب للحصول على الشخص المصاب أو من ينوب عنه أو خلال ثلاثين يوماً من تاريخ استلام طلب الشخص المصاب أو من ينوب عنه.

8.2.15.

في حالة رفض تقديم معلومات حول توفر PD حول موضوع PD المقابل أو PD إلى موضوع PD أو ممثله بناءً على طلبهم أو عند استلام طلب من موضوع PD أو ممثله، يكون المشغل ملزمًا بإعطاء رد مسبب كتابيًا يحتوي على إشارة إلى أحكام تشريعات الاتحاد الروسي، التي هي أساس هذا الرفض، خلال فترة لا تتجاوز ثلاثين يومًا من تاريخ تقديم طلب موضوع PD أو ممثله أو من تاريخ استلام طلب الشخص المعني أو من ينوب عنه.

8.2.16.

خلال فترة لا تزيد عن سبعة أيام عمل من تاريخ تقديم موضوع مدير المشروع أو من يمثله معلومات تؤكد أن مستند التعريف غير كامل أو غير دقيق أو غير ذي صلة، يلتزم المشغّل بإجراء التغييرات اللازمة عليها. خلال فترة لا تتجاوز سبعة أيام عمل من تاريخ تقديم موضوع PD أو ممثله معلومات تؤكد أنه تم الحصول على PD بشكل غير قانوني أو أنه غير ضروري للغرض المعلن للمعالجة، يكون المشغل ملزمًا بتدمير PD هذا. يلتزم المشغل بإخطار موضوع PD أو ممثله بالتغييرات التي تم إجراؤها والتدابير المتخذة واتخاذ التدابير المعقولة لإخطار الأطراف الثالثة التي تم نقل PD إليها بهذا الموضوع.

8.2.17.

إبلاغ الهيئة المختصة بحماية حقوق أصحاب البيانات الشخصية، بناءً على طلب هذه الهيئة، بالمعلومات اللازمة خلال ثلاثين يومًا من تاريخ استلام هذا الطلب.

8.2.18.

إذا تم اكتشاف معالجة غير قانونية لـ PD، يتم تنفيذها من قبل المشغّل أو شخص يتصرف نيابة عن المشغّل، فإن المشغّل، خلال فترة لا تتجاوز ثلاثة أيام عمل من تاريخ هذا الاكتشاف، ملزم بإيقاف المعالجة غير القانونية لـ PD أو التأكد من وقف المعالجة غير القانونية لـ PD من قبل شخص يتصرف نيابة عن المشغّل. إذا كان من المستحيل التأكد من مشروعية معالجة PD، فإن المشغّل، خلال فترة لا تتجاوز عشرة أيام عمل من تاريخ اكتشاف معالجة PD غير القانونية، ملزم بتدمير PD أو ضمان تدميره. يلتزم المشغل بإخطار موضوع PD أو ممثله بشأن إزالة الانتهاكات أو تدمير موضوع PD، وفي حالة استئناف موضوع PD أو ممثله أو طلب الهيئة المعتمدة لحماية حقوق موضوع PD تم إرساله من قبل الهيئة المعتمدة لحماية حقوق الأشخاص الذين يعانون من PD، وكذلك الهيئة المحددة.

8.2.19.

إذا تم تحقيق الغرض من معالجة البيانات الشخصية، فإن المشغل ملزم بالتوقف عن معالجة البيانات الشخصية أو التأكد من إنهائها (إذا تم تنفيذ معالجة البيانات الشخصية من قبل شخص آخر يتصرف نيابة عن المشغل) وتدمير البيانات الشخصية أو التأكد من تدميرها (إذا تم تنفيذ معالجة البيانات الشخصية من قبل شخص آخر يتصرف نيابة عن المشغّل) في الوقت المحدد، بما لا يتجاوز ثلاثين يومًا من تاريخ تحقيق غرض معالجة البيانات الشخصية، ما لم ينص على خلاف ذلك في الاتفاقية التي يكون PD موضوعًا لها الطرف أو المستفيد أو الضامن، أو اتفاقية أخرى بين المشغّل وموضوع PD، أو إذا لم يكن للمشغل الحق في معالجة PD دون موافقة موضوع PD على الأسس المنصوص عليها في تشريعات الاتحاد الروسي.

8.2.20.

إذا سحب موضوع PD موافقته على معالجة PD الخاص به، أوقف معالجته أو تأكد من إنهاء هذه المعالجة (إذا تم تنفيذ معالجة PD بواسطة شخص آخر يتصرف نيابة عن المشغل) وإذا لم يعد الحفاظ على PD المطلوبة لأغراض معالجة PD، قم بتدمير PD أو التأكد من تدميرها (إذا تم تنفيذ معالجة PD بواسطة شخص آخر يتصرف نيابة عن المشغّل) خلال فترة لا تتجاوز ثلاثين يومًا من تاريخ استلام الرد المذكور، ما لم يتم النص على خلاف ذلك من خلال الاتفاقية التي يكون الشخص المعني باحتمالية الاحتجاز طرفًا فيها أو مستفيدًا أو ضامنًا، أو اتفاقية أخرى بين المشغل وموضوع الاحتمالية أو إذا لم يكن لدى المشغّل الحق في معالجة احتمالية الاحتمال دون موافقة موضوع الاحتمالية على الأسباب المنصوص عليها بموجب تشريعات الاتحاد الروسي.

8.2.21.

تعيين شخص مسؤول عن تنظيم معالجة البيانات الشخصية.

إجراءات معالجة وحماية البيانات الشخصية

9.1.

يعد ضمان سرية البيانات الشخصية التي يعالجها المشغل مطلبًا إلزاميًا لجميع الأشخاص الذين أصبحت البيانات الشخصية معروفة لهم.

9.2.

يُطلب من موظفي المشغل الذين يقومون بمعالجة المستندات الحصول، في بعض الحالات، على موافقة الأشخاص المعنيين بالمعالجة.

9.3.

في حالة انتهاك الإجراء المحدد لمعالجة PD، يكون موظفو المشغّل مسؤولين وفقًا للقسم 9 من هذه اللوائح.

9.4.

يتم تخزين PD للموضوعات المكتوبة على الورق، والتي تتم معالجتها بواسطة المشغل، في الأقسام (مع الموظفين) الذين لديهم الإذن بمعالجة PD ذي الصلة. يتم تحديد حق الموظفين في الولوج إلى أنظمة المعلومات غير الآلية بأمر من المدير. لا ينبغي ترك حاملي البيانات الشخصية دون مراقبة. عند مغادرة مكان العمل، يجب على الموظفين الذين يقومون بمعالجة البيانات الشخصية وضع الوسائط في خزانة آمنة ومقفلة أو تقييد الوصول غير المصرح به إلى الوسائط. في حالة فقدان البيانات الشخصية أو تلفها، يتم استعادتها كلما أمكن ذلك.

9.5.

مواقع تخزين المستندات التي تحتوي على PD:

9.5.1.

يتم تخزين وثائق المشتريات الخاصة بعملاء المشغل (العقود، والتصرفات، والاتفاقيات، والاستبيانات، ونسخ جوازات السفر، وغيرها من المستندات المماثلة التي تحتوي على بيانات المشتريات الخاصة بعملاء المشغل، ووسائط التخزين (بطاقات الفلاش، والأقراص المدمجة، وما إلى ذلك) في المكاتب الرئيسية والاحتياطية للمشغل توضع على الرفوف وتقفل بالمفتاح ويتم تحديد الشخص المسؤول الذي يمارس الرقابة بأمر من المدير.

9.5.2.

البيانات الشخصية لموظفي المشغل - المستندات ووسائط التخزين (بطاقات الفلاش والأقراص المضغوطة وما إلى ذلك) يتم تخزينها في خزنة الشركة ومقفلة بمفتاح. الشخص المسؤول الذي يمارس السيطرة هو رئيس المشغل.

9.6.

يتم إصدار الوثائق للمراجعة للأشخاص المقبولين بالمعلومات ذات الصلة لغرض أداء الواجبات الرسمية، لمدة لا تزيد عن يوم عمل واحد.

9.7.

قد يتم تخزين وسائط التخزين الأخرى في المكاتب الرئيسية والاحتياطية للمشغل، أو وضعها على الرفوف وقفلها بمفتاح، أو في خزنة المنظمة. يتم تحديد الشخص المسؤول الذي يمارس السيطرة على شركات نقل المعلومات الأخرى بأمر من المدير.

9.8.

عند العمل مع برنامج النظام الآلي للمشغل، الذي ينفذ وظائف عرض وتحرير PD، يُحظر عرض نماذج الشاشة التي تحتوي على هذه البيانات للأشخاص الذين ليس لديهم الإذن المناسب.

9.9.

عند تلقي PD من قبل موظف لدى المشغل، والذي، وفقًا لواجباته الوظيفية، يتلقى PD من عميل أو موظف لدى شخص آخر، يجب التحقق من صحة PD. يتم إدخال بيانات التخلف عن السداد التي يتلقاها المشغل في نظام المعلومات من قبل الموظفين الذين لديهم إمكانية الوصول إلى بيانات التخلف عن السداد ذات الصلة. يتحمل الموظفون الذين يقومون بإدخال المعلومات مسؤولية دقة واكتمال المعلومات المدخلة.

9.10.

تم تحديد ميزات معالجة البيانات الشخصية الموجودة على الورق، دون استخدام أدوات التشغيل الآلي (لا يتم استخدام الكمبيوتر الشخصي عند إعداد المستندات) وفقًا لمرسوم حكومة الاتحاد الروسي الصادر في 15 سبتمبر 2008 رقم 687 "في الموافقة على اللوائح الخاصة بميزات معالجة البيانات الشخصية التي تتم دون استخدام أدوات التشغيل الآلي" .

9.11.

عند معالجة فئات مختلفة من البيانات الشخصية يدويًا، يجب استخدام وسيلة مادية منفصلة لكل فئة من البيانات الشخصية.

9.12.

في حالة المعالجة غير الآلية للبيانات الشخصية على الورق:

9.12.1.

لا يجوز التسجيل على وسيطة ورقية واحدة PD، والتي من الواضح أن أغراض معالجتها غير متوافقة؛

9.12.2.

يجب فصل PD عن المعلومات الأخرى، ولا سيما عن طريق تسجيلها على وسائط ورقية منفصلة، في أقسام خاصة أو في مجالات النماذج (النماذج)؛

9.13.

عند استخدام النماذج القياسية للمستندات، فإن طبيعة المعلومات التي تقترح أو تسمح بإدراج PD فيها (المشار إليها فيما بعد بالنماذج القياسية)، يجب استيفاء الشروط التالية:

9.13.1.

يجب أن يحتوي النموذج القياسي أو المستندات ذات الصلة (تعليمات ملؤها والبطاقات والسجلات والمجلات) على معلومات حول الغرض من المعالجة غير الآلية لـ PD واسم (الاسم) وعنوان المشغل واللقب والاسم الأول والعائلي وعنوان موضوع PD، ومصدر استلام PD، والمواعيد النهائية لمعالجة البيانات الشخصية، وقائمة الإجراءات مع البيانات الشخصية التي سيتم تنفيذها أثناء معالجتها، ووصف عام لأساليب معالجة البيانات الشخصية التي يستخدمها المشغل ;

9.13.2.

يجب أن يتضمن النموذج القياسي حقلاً يمكن لموضوع PD فيه وضع علامة على موافقته على معالجة PD غير الآلية، إذا كان من الضروري الحصول على موافقة كتابية على معالجة PD؛

9.13.3.

يجب صياغة النموذج القياسي بطريقة تتيح لكل موضوع من موضوعات التطوير المهني الواردة في الوثيقة الفرصة للتعرف على تطور التطوير المهني الخاص به الوارد في المستند دون انتهاك الحقوق والمصالح المشروعة لمواضيع التطوير المهني الأخرى؛

9.13.4.

يجب أن يستبعد النموذج القياسي مجموعة الحقول المخصصة لإدخال البيانات الشخصية، والتي من الواضح أن أغراض معالجتها غير متوافقة.

9.14.

يجب أن يتم تخزين PD في نموذج يسمح بتحديد موضوع PD، والذي لا يعد أطول مما هو مطلوب لأغراض معالجة PD، ما لم يتم تحديد فترة تخزين PD بموجب القانون الفيدرالي، وهي اتفاقية يكون موضوع PD فيها طرف أو مستفيد أو ضامن.

9.15.

حالات إتلاف وحجب وتوضيح البيانات الشخصية:

9.16.

يمكن أن يتم تدمير جزء من البيانات الشخصية أو نزع طابعها الشخصي، إذا سمحت بذلك وسيلة ملموسة، بطريقة تمنع إجراء المزيد من المعالجة لهذه البيانات الشخصية مع الحفاظ على إمكانية معالجة البيانات الأخرى المسجلة على وسيلة ملموسة (الحذف، المحو).

9.17.

يتم توضيح البيانات الشخصية عند معالجتها دون استخدام أدوات الأتمتة عن طريق تحديث أو تغيير البيانات على وسيط ملموس، وإذا لم تسمح الميزات التقنية للوسيط المادي بذلك - عن طريق التسجيل على نفس الوسيط المادي معلومات حول التغييرات التي تم إجراؤها عليها أو عن طريق إنتاج وسيط مادي جديد مع PD محدث.

9.18.

يتم تدمير الوسائط التي تحتوي على بيانات شخصية بالترتيب التالي:

9.18.1.

يتم تدمير PD على الورق باستخدام آلات تمزيق المستندات (آلات تمزيق المستندات) المثبتة في مكتب المشغل.

9.18.2.

يتم تدمير PD الموجود في ذاكرة الكمبيوتر عن طريق حذفه من ذاكرة الكمبيوتر.

9.18.3.

يتم تدمير PD الموجود على بطاقة فلاش أو قرص مضغوط أو أي وسيط تخزين آخر عن طريق حذف الملف من الوسيط، إذا لزم الأمر، عن طريق تعطيل وظيفة بطاقة الفلاش أو القرص المضغوط.

9.19.

يتم إعداد تقرير عن تدمير وسيلة التخزين (للاطلاع على نماذج التقارير، انظر الملاحق).

9.20.

يجب إغلاق المكتب ومقر المشغل في نهاية يوم العمل وغياب الموظفين في مباني المكتب وإغلاق النوافذ وتشغيل الإنذار (إن وجد).

9.21.

يجب أن تكون معدات الشبكة والخوادم موجودة في أماكن لا يمكن للأشخاص غير المصرح لهم الوصول إليها (في غرف خاصة وخزائن وصناديق).

9.22.

يجب أن يتم تنظيف المباني وصيانة المعدات التقنية لـ ISPD تحت سيطرة الأشخاص المسؤولين عن هذه المباني والوسائل التقنية وفقًا للتدابير التي تستبعد الوصول غير المصرح به إلى PD وناقلات المعلومات والبرامج والأجهزة لمعالجة ونقل وحماية معلومات ISPD .

9.23.

تشمل مسؤوليات مسؤولي ISPD إدارة حسابات مستخدمي ISPD، والحفاظ على التشغيل العادي لـ ISPD، وضمان النسخ الاحتياطي للبيانات، بالإضافة إلى تثبيت وتكوين أجهزة وبرامج ISPD غير المتعلقة بضمان أمان البيانات في ISPD. تشمل مسؤوليات مسؤولي ISPD أيضًا ضمان الامتثال لإجراءات المعالجة وضمان أمن PD في ISPD مع متطلبات السرية والنزاهة وتوافر PD المفروضة على ISPD محدد، والمتطلبات العامة لأمن PD التي وضعتها الحكومة الفيدرالية تشريع.

9.24.

تشمل مسؤوليات مسؤولي ISPD أيضًا تركيب وتكوين وإدارة الأجهزة وأدوات البرامج لحماية معلومات ISPD، والمحاسبة وتخزين وسائط تخزين بيانات الجهاز، والمراجعة الدورية لسجلات الأمان وتحليل أمان ISPD، بالإضافة إلى المشاركة في التحقيقات الرسمية انتهاكات الإجراءات المعمول بها لمعالجة وضمان أمن PD.

9.25.

من أجل ضمان توزيع الصلاحيات وتنفيذ الرقابة المتبادلة ومنع تركيز الصلاحيات الحاسمة لسلامة البيانات الشخصية في شخص واحد، لا يوصى بالجمع بين أدوار مستخدم ISPD ومسؤول ISPD في شخص موظف واحد.

9.26.

تم توضيح متطلبات التأهيل وقائمة مفصلة بحقوق ومسؤوليات مسؤولي ISPD في التوصيفات الوظيفية ذات الصلة، والتي يجب أن يكون الموظفون المعينون في هذه الأدوار على دراية بها عند التوقيع.

9.27.

يتم تنظيم الرقابة الداخلية على عملية معالجة PD في المشغل من أجل دراسة وتقييم الحالة الفعلية لأمن PD، والاستجابة في الوقت المناسب لانتهاكات الإجراء المحدد لمعالجتها، وكذلك من أجل تحسين هذا الإجراء والتأكد من الالتزام بها.

9.28.

تهدف تدابير تنفيذ الرقابة الداخلية على معالجة البيانات الشخصية وأمنها إلى حل المهام التالية:

9.28.1.

ضمان امتثال موظفي المشغل لمتطلبات هذه اللوائح واللوائح التي تحكم نطاق البيانات الشخصية.

9.28.2.

تقييم كفاءة الموظفين المشاركين في معالجة البيانات الشخصية.

9.28.3.

ضمان تشغيل وفعالية الوسائل التقنية لـ ISPD ووسائل حماية PD، وامتثالها لمتطلبات السلطات التنفيذية المعتمدة بشأن القضايا الأمنية PD.

9.28.4.

الكشف عن انتهاكات الإجراء المعمول به لمعالجة البيانات الشخصية والوقاية في الوقت المناسب من العواقب السلبية لهذه الانتهاكات.

9.28.5.

اتخاذ التدابير التصحيحية التي تهدف إلى القضاء على الانتهاكات التي تم تحديدها، سواء في إجراءات معالجة PD أو في تشغيل الوسائل التقنية لـ ISPD.

9.28.7.

ممارسة الرقابة الداخلية على تنفيذ التوصيات والتعليمات لإزالة المخالفات.

9.29.

يتم توثيق نتائج أنشطة المراقبة في القوانين وهي الأساس لوضع توصيات لتحسين إجراءات معالجة وضمان أمن البيانات الشخصية، لتحديث الوسائل التقنية لأنظمة المعلومات ووسائل حماية البيانات الشخصية، للتدريب وتحسين كفاءة الموظفين المشاركين في معالجة البيانات الشخصية.

ميزات إدارة البيانات الشخصية لموظفي المشغل

10.1.

يحدد هذا القسم حقوق والتزامات إضافية للمشغل والموظفين عند معالجة البيانات الشخصية لموظفي المشغل.

10.2.

البيانات الشخصية للموظفين هي المعلومات التي يطلبها المشغل فيما يتعلق بعلاقات العمل والمتعلقة بموظف معين.

10.3.

يمكن إجراء معالجة البيانات الشخصية للموظف فقط لغرض ضمان الامتثال للقوانين واللوائح الأخرى، ومساعدة الموظفين في التوظيف والتدريب والترقية، وضمان السلامة الشخصية للموظفين، ومراقبة كمية ونوعية العمل المنجز وضمان سلامة الممتلكات.

10.4.

لا يحق للمشغل تلقي ومعالجة البيانات الشخصية للموظف حول عضويته في الجمعيات العامة أو أنشطته النقابية، إلا في الحالات التي تنص عليها القوانين الفيدرالية؛

10.5.

عند اتخاذ القرارات التي تؤثر على مصالح الموظف، لا يحق للمشغل الاعتماد على البيانات الشخصية للموظف التي تم الحصول عليها فقط نتيجة للمعالجة الآلية أو الاستلام الإلكتروني؛

10.6.

لا يجوز للموظفين التنازل عن حقوقهم في الحفاظ على الأسرار وحمايتها؛

10.7.

يتعهد المشغل بعدم الكشف عن المعلومات الشخصية للموظف لأغراض تجارية دون موافقته الخطية؛

10.8.

يتعهد المشغل بتحذير موظفيه والأطراف الثالثة التي تتلقى البيانات الشخصية للموظف (بموافقته) من أن هذه البيانات لا يمكن استخدامها إلا للأغراض التي تم إرسالها من أجلها، ويطلب من هؤلاء الأشخاص التأكد من الامتثال لهذه القاعدة. يُطلب من الأشخاص الذين يتلقون البيانات الشخصية للموظف مراعاة نظام السرية (السرية). يتم ضمان نظام السرية من خلال توقيع اتفاقية مع الشخص (ملحق هذه اللوائح). لا ينطبق هذا الحكم على تبادل البيانات الشخصية للموظفين بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي؛

10.9.

يتم الوصول إلى البيانات الشخصية للموظفين على أساس الأوامر واللوائح المعتمدة من قبل المشغل.

10.10.

يتعهد المشغل بعدم طلب معلومات حول الحالة الصحية للموظف، باستثناء المعلومات التي تتعلق بمسألة قدرة الموظف على أداء وظيفة وظيفية؛

10.11.

يتعهد المشغل بنقل PD الخاص بالموظف إلى ممثلي الموظفين بالطريقة المنصوص عليها في تشريعات الاتحاد الروسي، وقصر هذه المعلومات فقط على PD الموظف الضروري للممثلين المذكورين لأداء وظائفهم.

10.12.

يحق للموظف تحديد ممثليه لحماية بياناته الشخصية.

المسؤولية عن انتهاك هذا الحكم

11.1.

تتحمل إدارة المشغل مسؤولية الفشل في ضمان سرية البيانات الشخصية وعدم الامتثال لحقوق وحريات أصحاب البيانات الشخصية فيما يتعلق ببياناتهم الشخصية، بما في ذلك حقوق الخصوصية والأسرار الشخصية والعائلية.

11.4.

في حالات انتهاك الإجراء المحدد لمعالجة وضمان أمن PD، والوصول غير المصرح به إلى PD، والكشف عن PD والتسبب في أضرار مادية أو غيرها للمشغل وموظفيه وعملائه والأطراف المقابلة، يتحمل الجناة المسؤولية المدنية والجنائية والإدارية والمسؤولية التأديبية وغيرها من المسؤوليات المنصوص عليها في تشريعات الاتحاد الروسي.

وفقا للجزء 2 من الفن. 85 قانون العمل في الاتحاد الروسي معالجة البيانات الشخصية للموظفين -هذا هو الاستلام أو التخزين أو الجمع أو النقل أو أي استخدام آخر للبيانات الشخصية للموظف.

يمكن إجراء معالجة البيانات الشخصية للموظف فقط لغرض ضمان الامتثال للقوانين واللوائح الأخرى، ومساعدة الموظف في التوظيف والتدريب والترقية، وضمان أمن رأس المال، وكذلك مراقبة كمية ونوعية العمل ينفذ ويضمن سلامة الممتلكات (البند 1 المادة 86 من قانون العمل في الاتحاد الروسي).

وفقا للفقرة 3 من الفن. 3 من القانون الاتحادي "بشأن البيانات الشخصية" ، معالجة البيانات الشخصية هي إجراءات (عمليات) مع البيانات الشخصية ، بما في ذلك التجميع والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخدام والتوزيع (بما في ذلك النقل) وإضفاء الطابع الشخصي حجب وتدمير البيانات الشخصية. يجب أن يؤخذ في الاعتبار أنه بغض النظر عن عدد العمليات الوظيفية المدرجة في التشريع، يجب أن يغطي التنظيم القانوني جميع مراحل معالجة البيانات الشخصية - من الاستلام إلى التدمير، دون أي استثناءات أو إعفاءات.

تتضمن مبادئ معالجة البيانات الشخصية ما يلي:

شرعية أغراض ووسائل المعالجة والعدالة؛
امتثال أغراض المعالجة للأهداف المحددة مسبقًا والمذكورة عند جمع البيانات الشخصية، وكذلك لصلاحيات المشغل؛
امتثال حجم وطبيعة البيانات المعالجة وطرق معالجتها لأغراض معالجتها؛
موثوقية البيانات الشخصية، وكفايتها لأغراض المعالجة، وعدم قبول معالجة البيانات الشخصية التي لا تتعلق بالأغراض المذكورة عند جمع البيانات؛
عدم جواز الجمع بين قواعد بيانات أنظمة معلومات البيانات الشخصية التي تم إنشاؤها لأغراض غير متوافقة.

تبدأ معالجة البيانات الشخصية للموظف باستلامها. كقاعدة عامة، ينبغي الحصول على جميع البيانات الشخصية من الموظف نفسه. في حالات استثنائية، عندما لا يمكن الحصول على البيانات الشخصية للموظف إلا من طرف ثالث، يجب إخطار الموظف بذلك مسبقًا ويجب الحصول على موافقة كتابية منه. يلتزم صاحب العمل بإبلاغ الموظف بالأغراض والمصادر المقصودة وطرق الحصول على البيانات الشخصية، فضلاً عن طبيعة البيانات الشخصية التي سيتم تلقيها وعواقب رفض الموظف إعطاء موافقة كتابية لاستلامها (البند 3) من المادة 86 من قانون العمل في الاتحاد الروسي). ومع ذلك، لا يحق لصاحب العمل تلقي ومعالجة البيانات الشخصية للموظف حول معتقداته السياسية والدينية وغيرها وحياته الخاصة (البند 4 من المادة 86 من قانون العمل في الاتحاد الروسي). كما لا يمكن لصاحب العمل أن يطلب معلومات حول الحالة الصحية للموظف إذا كان ذلك لا يتعلق بمسألة قدرة الموظف على أداء وظيفة العمل (المادة 88 من قانون العمل في الاتحاد الروسي).

يفرض قانون العمل في الاتحاد الروسي متطلبات معينة على تنظيم وتكنولوجيا معالجة البيانات الشخصية من قبل صاحب العمل. إن الالتزام بتعريف الموظفين وممثليهم، مقابل التوقيع، بوثائق صاحب العمل التي تحدد إجراءات معالجة البيانات الشخصية للموظفين، وكذلك حقوقهم ومسؤولياتهم في هذا المجال، يفترض الحاجة إلى تطوير واعتماد قانون قانوني تنظيمي محلي مناسب . مثل هذا الفعل، اعتمادًا على تفاصيل النشاط وتقدير صاحب العمل، يمكن أن يسمى لائحة أو تعليمات، وكقاعدة عامة، يتضمن الأقسام التالية:

المفاهيم والأحكام الأساسية؛
معالجة البيانات الشخصية للموظفين؛
توليد البيانات الشخصية للموظفين؛
تسجيل وتخزين ونقل البيانات الشخصية للموظفين؛
حقوق والتزامات الموظف في مجال معالجة وحماية بياناته الشخصية.

يحدد هذا القانون التنظيمي المحلي نظام السرية (الوصول المحدود) للبيانات الشخصية للموظف لدى صاحب عمل معين. يتعين على موظفي صاحب العمل الذين يتلقون البيانات الشخصية للموظف الالتزام بهذا النظام، والذي يجب الإشارة إليه ليس فقط في توصيف وظائفهم، ولكن أيضًا في عقود العمل المبرمة معهم. اللائحة (التعليمات) بشأن حماية البيانات الشخصية هي الوثيقة الرئيسية التي تعكس تفاصيل معالجة ونقل البيانات الشخصية للموظف داخل منظمة معينة، لرائد أعمال فردي محدد. إذا كان هناك مكون آلي ضمن هذا النشاط، فلا يحق لصاحب العمل اتخاذ قرارات بشأن الموظف بناءً على البيانات الشخصية التي تم الحصول عليها فقط نتيجة للمعالجة الآلية أو الاستلام الإلكتروني (البند 6 من المادة 86 من قانون العمل). الاتحاد الروسي). لا يجوز لصاحب العمل أن يقتصر على اعتماد بند بشأن حماية البيانات الشخصية للموظفين في مؤسسته. ومع ذلك، فإن وجود هذا القانون المحلي إلزامي، ويعتبر غيابه من قبل مفتشية العمل الحكومية بمثابة انتهاك خطير لتشريعات العمل.

ولهذا وغيره من المخالفات لقواعد الاستلام والمعالجة والموظف، يمكن لصاحب العمل تقديم مرتكبيها إلى المسؤولية المادية والتأديبية، والجهات الحكومية ذات الصلة إلى المسؤولية المدنية والإدارية والجنائية.

منذ نهاية الصيف، دخل قانون البيانات الشخصية حيز التنفيذ في نسخة جديدة. لقد تغيرت قواعد الحصول على المعلومات وحمايتها. بالنسبة لصاحب العمل، هذا يعني شيئًا واحدًا فقط - الأوراق الإضافية. سنتحدث في هذه المقالة عن كيفية وضع لوائح بشأن العمل مع البيانات الشخصية للموظفين وتعيين شخص مسؤول عن تنظيم العمل مع البيانات الشخصية.

ما هي البيانات الشخصية

يحدد القانون الاتحادي رقم 152-FZ المؤرخ 27 يوليو 2006 "بشأن البيانات الشخصية" (المشار إليه فيما يلي باسم القانون رقم 152-FZ) معلومات شخصيةكأية معلومات تتعلق بشكل مباشر أو غير مباشر بفرد ما (في موضوع البيانات الشخصية). جاء ذلك في الفقرة 1 من الفن. 3 من القانون رقم 152-FZ.

وفقا للجزء 1 من الفن. 85 من قانون العمل، البيانات الشخصية للموظف تعني المعلومات المتعلقة بموظف معين، وهو أمر ضروري لصاحب العمل فيما يتعلق بعلاقات العمل. نحن نتحدث عن بيانات مثل:

الاسم الكامل؛
تاريخ ومكان الميلاد؛
عنوان؛
الوضع العائلي؛
المنصب (المهنة) ؛
الراتب والدخل الآخر.
ملكية العقارات والودائع النقدية وما إلى ذلك؛
التعليم والمؤهلات والتدريب المهني ومعلومات عن التدريب المتقدم؛
العادات والهوايات، بما في ذلك الضارة (الكحول والمخدرات وغيرها)؛
حقائق السيرة الذاتية ونشاط العمل السابق (مكان العمل، مقدار الأرباح، السجل الجنائي، الخدمة العسكرية، العمل في المناصب المنتخبة، الخدمة العامة، وما إلى ذلك)؛
الخصائص الفسيولوجية والصحة.
الأعمال والصفات الشخصية الأخرى؛
معلومات أخرى.

ترد في الجدول قائمة وثائق الموظفين التي تحتوي على البيانات الشخصية للموظفين. 1 على ص. 76.

الجدول 1. المستندات التي تحتوي على البيانات الشخصية للموظفين

ن	وثيقة	ذكاء
1	استبيان، سيرة ذاتية، شخصية ورقة سجلات الموظفين (يتم استكماله عند القبول في عمل)	المعلومات الشخصية والسيرة الذاتية موظف
2	نسخة من الوثيقة، وثيقة تعريف موظف	الاسم الكامل، تاريخ الميلاد، العنوان التسجيل، الحالة الاجتماعية، تكوين الأسرة
3	البطاقة الشخصية (نموذج N T-2، وافق عليها القرار غوسكومستات في روسيا بتاريخ 01/05/2004 ن 1)	الاسم الكامل. الموظف، مكان الميلاد، تكوين الأسرة والتعليم و تفاصيل وثيقة الهوية شخصية
4	تاريخ التوظيف	معلومات عن الخبرة العملية السابقة أماكن العمل
5	نسخ من شهادات الختام الزواج وإنجاب الأطفال	تكوين الأسرة، والتغيرات في الأسرة موضع
6	وثائق التسجيل العسكري	معلومات عن موقف الموظف تجاه الواجب العسكري مطلوب لصاحب العمل للتنفيذ التسجيل العسكري للموظفين
7	شهادة الدخل من السابق أماكن العمل	الاسم الكامل، معلومات عن مقدار الدخل و حجب ضريبة الدخل الشخصي
8	وثائق التعليم	يؤكد مؤهلات الموظف ، تبرير احتلال معين المواقف
9	الوثائق الإلزامية تأمين التقاعد	الاسم الكامل والبيانات الشخصية
10	عقد التوظيف	معلومات عن وظيفة الموظف، الراتب، مكان العمل، مكان العمل، فضلا عن غيرها البيانات الشخصية للموظفين
11	أوامر للموظفين	معلومات حول القبول والتحويل، الفصل وغيرها من الأحداث ، المتعلقة بأنشطة العمل موظف

مشغل معالجة البيانات الشخصية

وفقًا للقانون رقم 152-FZ، يُطلق على الشخص (الاعتباري أو الفردي) الذي ينظم و (أو) ينفذ معالجة البيانات الشخصية، ويحدد تكوينها، وأغراض المعالجة، والإجراءات التي يتم تنفيذها باستخدام البيانات الشخصية اسم المشغل أو العامل(البند 2 من المادة 3 من القانون رقم 152-FZ). في حالتنا، هذا هو صاحب العمل.

معالجة البيانات الشخصية- أي إجراء يتم معهم. عمليات معالجة البيانات الشخصية:

مجموعة؛
سِجِلّ؛
التنظيم؛
تراكم؛
تخزين؛
التوضيح (التحديث، التغيير)؛
اِستِخلاص؛
الاستخدام؛
النقل (التوزيع، التوفير، الوصول)؛
تبدد الشخصية.
حجب؛
حذف؛
تدمير البيانات الشخصية.

قواعد العمل مع البيانات الشخصية

قد يتم تحديد إجراءات معالجة البيانات الشخصية من قبل المشغل في اللوائح الخاصة بالعمل مع البيانات الشخصية للموظفين (المشار إليها فيما يلي باسم اللوائح). لا يوجد شكل موحد للوثيقة. دعونا نفكر في كيفية إعداد هذه الوثيقة مع مراعاة متطلبات القانون رقم 152-FZ. تتكون اللائحة من عدة أقسام. يتم تقديمها في الجدول. 2. كما يشير بإيجاز إلى المعلومات التي يجب أن تحتوي عليها الأقسام. يتم تقديم المعلومات التفصيلية في جزء من اللوائح المتعلقة بالبيانات الشخصية للموظفين، والتي يتم تقديمها في الصفحة. 80.

الجدول 2. هيكل اللائحة المتعلقة بالبيانات الشخصية للموظفين

ن	واجب	محتويات القسم
1	الأحكام العامة	الغرض من اعتماد اللوائح
		القضايا التي تنظمها اللوائح
		روابط إلى اللوائح. يشير إلى على أساس ما هي الوثائق التي تم تجميعها؟ موضع. في المنظمات التي يعمل فيها المسؤولون الحكوميون موظفي الخدمة المدنية، يشار إلى: - القانون الاتحادي الصادر في 27 يوليو 2004 رقم 79-FZ "في الخدمة المدنية الحكومية الروسية الاتحاد"؛ - مرسوم رئيس الاتحاد الروسي بتاريخ 30 مايو 2005 رقم 609 "في الموافقة على لوائح البيانات الشخصية موظف الدولة المدني الاتحاد الروسي وإدارة شخصيته أمور"؛ - الإجراءات التنظيمية للكيان التأسيسي للاتحاد الروسي
2	مفاهيم أساسية. تكوين الشخصية بيانات الموظف	مفاهيم أساسية. يتم إعطاء تعريفات للمفاهيم "البيانات الشخصية"، "معالجة البيانات الشخصية". البيانات"، "استخدام البيانات الشخصية"، تتم الإشارة إلى فترة تخزين المستندات وما إلى ذلك. يجب أن يذكر بشكل منفصل ما ينطبق على البيانات الشخصية في شركة معينة مع مع الأخذ في الاعتبار ميزاته (البيانات المستخدمة في العمل، على سبيل المثال، معلومات حول العمل على الحساسة الكائنات، على الوصول إلى سر الدولة، حول الامتثال الصحي للمهن المرتبطة الثقيلة والضارة الشروط، الخ.)
		قائمة الوثائق التنظيمية التي تحتوي على بيانات شخصية
3	إيصال بيانات شخصية عمال	إجراءات الحصول على البيانات الشخصية. يشير إلى أنه تم استلام البيانات ومعالجتها بناء على موافقة كتابية من الموظف. يشير إلى الحالات التي لا تكون فيها الموافقة مطلوبة
4	الاستخدام بيانات شخصية	أغراض استخدام المعلومات الشخصية للموظفين
5	علاج بيانات شخصية	الشروط التي تمت مراعاتها عند معالجة البيانات الشخصية بيانات الموظف
6	إذاعة بيانات شخصية (الولوج إلى بيانات شخصية)	إجراءات نقل البيانات الشخصية داخليًا المنظمات (الوصول الداخلي)، وأطراف ثالثة والجهات الحكومية (الوصول الخارجي)
7	المسؤولية عن انتهاك الأعراف، تنظيم المعالجة والحماية بيانات شخصية	ويحدد المسؤولين عن ذلك انتهاك قواعد التخزين والاستخدام بيانات شخصية

جزء من اللوائح المتعلقة بالبيانات الشخصية للموظفين

إدخال اللائحة حيز التنفيذ

تتم الموافقة على اللائحة المتعلقة بالبيانات الشخصية من قبل رئيس الشركة ويتم تطبيقها بأمر من المنظمة (ترد عينة في ص 90). ويجب عمل سجل بالموافقة على اللوائح في سجل اللوائح المحلية.

إذا كان هناك نقابة

إذا كان لدى الشركة نقابة عمال فيجب الاتفاق معها على النظام. للقيام بذلك، يتم إرسال مشروع اللوائح إلى الهيئة المنتخبة للنقابة (المادة 372 من قانون العمل في الاتحاد الروسي). ويجب عليه إبداء رأيه (كتابياً) في موعد أقصاه خمسة أيام عمل من تاريخ استلام المشروع. إذا لم توافق النقابة على المشروع أو لديها مقترحات لتحسينه، فإن الإدارة أمام خيارين. الأول هو الموافقة. والثاني هو إجراء مشاورات إضافية مع النقابة خلال ثلاثة أيام بعد الحصول على رأي مسبب من أجل التوصل إلى حل مقبول للطرفين. إذا لم يساعد ذلك، فيجب عليك وضع بروتوكول للخلاف. وبعد ذلك يحق للإدارة إقرار اللائحة دون مراعاة مطالب النقابة. ومع ذلك، سيكون بإمكانه استئناف اللوائح أو البدء في إجراءات النزاع العمالي الجماعي بالطريقة المنصوص عليها في الفصل. 61 قانون العمل.

تعريف الموظفين باللوائح

يجب أن يكون الموظفون على دراية بلوائح التوقيع (البند 8 من المادة 86 من قانون العمل في الاتحاد الروسي). ويمكن تسجيل هذه الحقيقة:

في نص عقد العمل لكل موظف (قائمة باللوائح المحلية التي يكون الموظف على دراية بها قبل توقيع العقد)؛
- ورقة للتعرف على اللوائح (نموذج ص 91)؛
- سجل لتعريف الموظفين باللوائح المحلية (نموذج في ص 91).

نموذج ورقة للتعرف على اللوائح المحلية

ن ص / ص	اسم القانون التنظيمي المحلي	تاريخ	إمضاء
1	لوائح العمل الداخلية جمعية ذات مسؤولية محدودة "بلاك فورست"	03.10.2011	إيفستاخوف
2	اللائحة التنفيذية للمكافآت والمكافآت والمكافآت الضمان الاجتماعي لموظفي شركة Cherny LLC غابة"	03.10.2011	إيفستاخوف
3	تعليمات أمن المعلومات، تمت الموافقة عليه بأمر مؤرخ في 15 يونيو 2008 رقم 1	03.10.2011	إيفستاخوف
4	بيان بشأن البيانات الشخصية	03.10.2011	إيفستاخوف
5	الحكم على المسؤولية العمال عن الأضرار التي لحقت بشركة Black Forest LLC	03.10.2011	إيفستاخوف

جزء من سجل المقدمةأنظمةحول البيانات الشخصية

ملحوظة. فترة تخزين البيانات الشخصية

يجب تخزين اللوائح المحلية (اللوائح والتعليمات) المتعلقة بالبيانات الشخصية بشكل دائم. أما بالنسبة لبيانات موافقة الموظفين على معالجة البيانات (ستتم مناقشتها في الإصدارات المستقبلية)، ومستندات الموظفين الأخرى، فسيتم تخزينها لمدة 75 عامًا. جاء ذلك في القائمة المعتمدة بأمر من وزارة الثقافة الروسية بتاريخ 25 أغسطس 2010 رقم 558.

المسؤولية الإدارية

تدابير المسؤولية الإدارية (يتم توفير الغرامات في الغالب، ولا يتم تطبيق فقدان الأهلية في هذه الحالة) للمؤسسة ومسؤوليها بسبب انتهاك إجراءات تلقي ومعالجة وتخزين وحماية البيانات الشخصية للموظفين في الجدول. 3.

الجدول 3. المسؤولية عن انتهاك إجراءات الحصول على البيانات الشخصية للموظفين ومعالجتها وتخزينها وحمايتها

تم تطوير هذه التعليمات الخاصة بمعالجة البيانات الشخصية (المشار إليها فيما يلي باسم التعليمات) وفقًا للقانون الاتحادي الصادر في 27 يوليو 2006. رقم 152-FZ "بشأن البيانات الشخصية". تحدد هذه التعليمات إجراءات معالجة البيانات الشخصية والتدابير اللازمة لضمان أمان البيانات الشخصية في CardsProService LLC من أجل حماية حقوق وحريات الأفراد والمواطنين عند معالجة بياناتهم الشخصية، بما في ذلك حماية حقوق الخصوصية والشخصية والعائلية أسرار.

1. المصطلحات والتعريفات

1) معلومات شخصية- أي معلومات تتعلق بفرد محدد أو يمكن تحديد هويته بشكل مباشر أو غير مباشر (موضوع البيانات الشخصية)؛

2) المشغل (العميل) - هيئة حكومية أو هيئة بلدية أو كيان قانوني أو فرد، بشكل مستقل أو بالاشتراك مع أشخاص آخرين ينظمون و (أو) ينفذون معالجة البيانات الشخصية، وكذلك تحديد أغراض معالجة البيانات الشخصية، وتكوين البيانات الشخصية المراد معالجتها الإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية؛

3) معالجة البيانات الشخصية- أي إجراء (عملية) أو مجموعة من الإجراءات (العمليات) يتم تنفيذها باستخدام أدوات التشغيل الآلي أو دون استخدام هذه الوسائل مع البيانات الشخصية، بما في ذلك التجميع والتسجيل والتنظيم والتراكم والتخزين والتوضيح (التحديث والتغيير) والاستخراج والاستخدام، النقل (التوزيع والتوفير والوصول)، وإلغاء الطابع الشخصي، والحظر، والحذف، وتدمير البيانات الشخصية؛

4) المعالجة الآلية للبيانات الشخصية- معالجة البيانات الشخصية باستخدام تكنولوجيا الكمبيوتر؛

5) نشر البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لعدد غير محدد من الأشخاص؛

6) توفير البيانات الشخصية- الإجراءات التي تهدف إلى الكشف عن البيانات الشخصية لشخص معين أو دائرة معينة من الأشخاص؛

7) حجب البيانات الشخصية- التوقف المؤقت عن معالجة البيانات الشخصية (باستثناء الحالات التي تكون فيها المعالجة ضرورية لتوضيح البيانات الشخصية)؛

8) تدمير البيانات الشخصية- الإجراءات التي نتيجة لذلك يصبح من المستحيل استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية و (أو) نتيجة لتدمير الوسائط المادية للبيانات الشخصية؛

9) الأشخاص المعتمدون لدى العميل- الأشخاص الذين يتصرفون وفقا للاتفاقية
السرية المبرمة مع العميل.

10) عننزع الطابع الشخصي عن البيانات الشخصية- الإجراءات التي يصبح من المستحيل بموجبها تحديد ملكية البيانات الشخصية لموضوع معين من البيانات الشخصية دون استخدام معلومات إضافية؛

11) نظام معلومات البيانات الشخصية- مجمل البيانات الشخصية الواردة في قواعد البيانات وتقنيات المعلومات والوسائل التقنية التي تضمن معالجتها؛

12) نقل البيانات الشخصية عبر الحدود- نقل البيانات الشخصية إلى
أراضي دولة أجنبية لسلطة دولة أجنبية أو فرد أجنبي أو كيان قانوني أجنبي؛

13) المنفذ- CardsProService LLC (123610، موسكو، جسر كراسنوبريسنينسكايا، المبنى 12، مبنى المكاتب 1، معرف الغرفة، الغرفة 42؛ OGRN 1157746550070).

2. طلب معالجة البيانات الشخصية

2.1. العميل، كونه مشغل البيانات الشخصية، وفقًا للفقرة 3 من الفن. 6 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية"، يرشد ويتعهد المقاول بمعالجة البيانات الشخصية للأشخاص، لصالح العميل وبموجب
اتفاقية المستخدم.

3. إجراءات التفاعل بين الأطراف

3.1. الأساس الذي يعتمد عليه المقاول في معالجة البيانات الشخصية للموضوعات التي يتم إجراؤها لصالح العميل هو اتفاقية المستخدم.

3.2. إجراءات تنظيم جمع الموافقات لأصحاب البيانات الشخصية لمعالجة ونقل بياناتهم الشخصية، وكذلك أغراض معالجة البيانات الشخصية، وتكوين البيانات الشخصية المراد معالجتها، والإجراءات (العمليات) التي يتم تنفيذها باستخدام البيانات الشخصية:

3.2.1. الغرض من معالجة البيانات الشخصية.

يتم تكليف معالجة البيانات الشخصية بغرض تنفيذ برامج الولاء.

3.2.2. قائمة البيانات الشخصية التي يعهد بمعالجتها إلى المقاول

الاسم الكامل؛
مكان وسنة وتاريخ الميلاد؛
رقم الاتصال؛
عنوان التسجيل؛
عنوان مكان الإقامة الفعلي (الإقامة)؛
بيانات جواز السفر (السلسلة، رقم جواز السفر، من أصدره ومتى صدر)؛
رقم الهاتف (المنزل، العمل، الجوال).

3.2.3. قائمة الإجراءات (العمليات) مع البيانات الشخصية التي يُكلف المقاول بتنفيذها:

جمع البيانات الشخصية.
تنظيم البيانات الشخصية.
تراكم البيانات الشخصية.
استخدام البيانات الشخصية لتنفيذ برامج الولاء والتواصل مع أصحاب البيانات الشخصية.
تخزين البيانات الشخصية.
توضيح (تحديث، تغيير) البيانات الشخصية:
الاستخراج (التفريغ) - بناءً على تعليمات كتابية إضافية من العميل.
إضفاء الطابع الشخصي على البيانات الشخصية:
-
- بناءً على طلب قانوني من صاحب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل؛
- بناءً على طلب السلطات التنظيمية للدولة لحماية حقوق أصحاب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل.
حجب البيانات الشخصية:
- بناءً على تعليمات كتابية إضافية من العميل؛
- بناءً على طلب قانوني من صاحب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل؛
- بناءً على طلب السلطات التنظيمية للدولة لحماية حقوق أصحاب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل.
حذف البيانات الشخصية:
- بناءً على تعليمات كتابية إضافية من العميل؛
- بناءً على طلب قانوني من صاحب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل؛
- بناءً على طلب السلطات التنظيمية للدولة لحماية حقوق أصحاب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل.
تدمير البيانات الشخصية - بناءً على تعليمات كتابية إضافية من العميل.

3.2.4. إجراءات معالجة البيانات الشخصية

يجب أن تقتصر معالجة البيانات الشخصية على تحقيق أغراض محددة ومحددة مسبقًا ومشروعة. لا يُسمح بمعالجة البيانات الشخصية التي لا تتوافق مع أغراض جمع البيانات الشخصية.
لا يجوز دمج قواعد البيانات التي تحتوي على بيانات شخصية، والتي تتم معالجتها لأغراض غير متوافقة مع بعضها البعض.
فقط البيانات الشخصية التي تلبي أغراض معالجتها هي التي تخضع للمعالجة.
يجب أن يتوافق محتوى وحجم البيانات الشخصية المعالجة مع الأغراض المعلنة للمعالجة. لا ينبغي أن تكون البيانات الشخصية التي تتم معالجتها زائدة عن الحاجة فيما يتعلق بالأغراض المعلنة لمعالجتها.
عند معالجة البيانات الشخصية، يجب التأكد من دقة البيانات الشخصية وكفايتها وأهميتها فيما يتعلق بأغراض معالجة البيانات الشخصية.
يجب أن يتم تخزين البيانات الشخصية بشكل يسمح بتحديد موضوع البيانات الشخصية، بما لا يتجاوز ما تتطلبه أغراض معالجة البيانات الشخصية، ما لم تنص شروط العقد على خلاف ذلك. تخضع البيانات الشخصية المعالجة للتدمير أو نزع الطابع الشخصي عند تحقيق أهداف المعالجة أو في حالة فقدان الحاجة إلى تحقيق هذه الأهداف، ما لم تحدد شروط العقد خلاف ذلك.

3.2.5. تنظيم حماية البيانات الشخصية

كائنات الحماية

معلومات تحتوي على بيانات شخصية للمواضيع؛
وسائط الكمبيوتر التي تحتوي على بيانات شخصية للمواضيع؛
أنظمة معلومات البيانات الشخصية؛
البيانات الشخصية للمواضيع الواردة في قواعد البيانات الإلكترونية لأنظمة معلومات البيانات الشخصية.

3.2.6. تدابير لتنظيم وضمان أمن البيانات الشخصية

لضمان أمن البيانات الشخصية، يجب على المقاول اتخاذ التدابير التالية:

التدابير القانونية والتنظيمية والتقنية اللازمة أو ضمان اعتمادها لحماية البيانات الشخصية من الوصول غير المصرح به أو العرضي، أو التدمير، أو التعديل، أو الحظر، أو النسخ، أو توفير، أو توزيع البيانات الشخصية، وكذلك من الإجراءات غير القانونية الأخرى المتعلقة بالبيانات الشخصية.
توفير الوصول لموظفي المقاول إلى البيانات الشخصية التي تتم معالجتها نيابة عن العميل، بعد توقيعهم على التزام بعدم الكشف عن البيانات الشخصية، ودراسة متطلبات العميل لإجراءات معالجة وحماية البيانات الشخصية، واللوائح المحلية التي تنظم إجراءات تنظيم وضمان حماية البيانات الشخصية والخضوع للتدريب على إجراءات التعامل مع البيانات الشخصية.
تحديد التهديدات التي تهدد أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية.
تطبيق التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية أثناء معالجتها في أنظمة معلومات البيانات الشخصية اللازمة للوفاء بمتطلبات حماية البيانات الشخصية، والتي يضمن تنفيذها مستويات أمن البيانات الشخصية التي حددتها حكومة الاتحاد الروسي.
تقييم فعالية التدابير المتخذة لضمان أمن البيانات الشخصية قبل تشغيل نظام معلومات البيانات الشخصية.
المحاسبة لوسائط تخزين الكمبيوتر للبيانات الشخصية.
الكشف عن حقائق الوصول غير المصرح به إلى البيانات الشخصية واتخاذ التدابير.
استعادة البيانات الشخصية التي تم تعديلها أو إتلافها بسبب الوصول غير المصرح به إليها.
وضع قواعد للوصول إلى البيانات الشخصية التي تتم معالجتها في نظام معلومات البيانات الشخصية، وكذلك ضمان تسجيل ومحاسبة جميع الإجراءات التي تتم مع البيانات الشخصية في نظام معلومات البيانات الشخصية.
مراقبة التدابير المتخذة لضمان أمن البيانات الشخصية ومستوى أمن أنظمة معلومات البيانات الشخصية.

3.2.7. تدمير البيانات الشخصية

يمكن للمقاول أن يقوم بتدمير البيانات الشخصية للأشخاص فقط:

بناءً على تعليمات كتابية إضافية من العميل؛
بناءً على طلب قانوني من صاحب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل؛
بناءً على طلب السلطات التنظيمية للدولة لحماية حقوق أصحاب البيانات الشخصية، مع إخطار كتابي إلزامي للعميل.

يجب ضمان تدمير البيانات الشخصية المعالجة للأشخاص والتأكد من استحالة استعادة محتوى البيانات الشخصية في نظام معلومات البيانات الشخصية أو الوسائط التي تحتوي عليها.

3.2.8. إجراءات إنهاء معالجة البيانات الشخصية

يتم إنهاء معالجة البيانات الشخصية:

في حالة إنهاء العلاقة التعاقدية التي تعتبر أساس معالجة البيانات الشخصية؛
بناءً على تعليمات كتابية إضافية من العميل؛
بأمر كتابي من السلطات التنظيمية الحكومية.

في جميع حالات إنهاء معالجة البيانات الشخصية، يتم تحديد الغرض الإضافي لقواعد البيانات من قبل العميل من خلال إعداد إشعار كتابي حول الغرض الإضافي لقواعد البيانات الشخصية.

4. حقوق والتزامات الأطراف

4.1. يتعهد العميل بما يلي:

4.1.1. إذا سحب موضوع البيانات الشخصية موافقته على معالجة البيانات الشخصية ولا توجد أسباب محددة في الفقرات من 2 إلى 11 من الجزء 1 من المادة 6، والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي الصادر في 27 يوليو ، 2006 رقم 152-FZ "بشأن البيانات الشخصية" التي يمكن معالجتها
البيانات الشخصية دون موافقة الشخص المعني، إرسال أمر كتابي إلى المقاول لتنفيذ العمل على حذف البيانات الشخصية للموضوع أو إلغاء طابعها الشخصي.

4.1.2. عند استلام طلب من موضوع البيانات الشخصية لتقديم المعلومات المحددة في الجزء 7 من المادة 14 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية"، أو طلبات الموضوع لتحسين بياناته الشخصية أو حجبها أو إتلافها في حالة، إذا كانت البيانات الشخصية غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو ليست ضرورية للغرض المعلن للمعالجة، أرسل أمرًا كتابيًا إلى المقاول إلى
تقديم معلومات أو تنفيذ إجراءات محددة مع البيانات الشخصية للموضوع.

4.2. يتعهد المقاول بما يلي:

4.2.1. معالجة البيانات الشخصية بشكل قانوني، بما يتفق بدقة مع شروط هذه التعليمات.

4.2.2. بناءً على أول طلب كتابي من العميل، يتم نقل (إرجاع) قواعد البيانات الشخصية التي تتم معالجتها نيابة عنه بالطريقة المحددة في الطلب.

4.2.4. بناءً على طلب الهيئة المعتمدة لحماية حقوق أصحاب البيانات الشخصية، تقديم دليل على استلام موافقات أصحاب البيانات الشخصية التي تم جمعها في إطار هذه التعليمات لمعالجة بياناتهم الشخصية أو دليل على وجود الأسباب المحددة في الفقرات من 2 إلى 11 من الجزء 1 من المادة 6، والجزء 2 من المادة 10 والجزء 2 من المادة 11 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية"، الذي يسمح بمعالجة البيانات الشخصية البيانات دون موافقة صاحب الموضوع.

يتم تنفيذها على أساس الامتثال للقوانين واللوائح الأخرى.

ما هي معالجة البيانات الشخصية؟ تتضمن هذه العملية الخطوات التالية:

يغطي التنظيم القانوني للعمل مع البيانات الشخصية جميع عمليات ومراحل العمل معها.

هدف

لماذا تعتبر معالجة البيانات الشخصية ضرورية؟ تتم معالجة البيانات الشخصية للموظف في المؤسسة أو المؤسسة من أجل تسهيل ذلك.

الأغراض الرئيسية لمعالجة البيانات الشخصية:

في الحصول على وظيفة؛
في التنسيب في مؤسسة تعليمية أو للتدريب، والتدريب المتقدم؛
لغرض حماية العمل؛
للترقية والسيطرة على الفرص الوظيفية؛
لمراقبة كمية ونوعية العمل المنجز.

ينص التشريع على تجميع ونقل البيانات الشخصية للموظف فقط لغرض تطويره والاستخدام المناسب لقدراته وخبراته. , تشمل أهدافًا متعددة الوظائف.

تشمل أغراض معالجة البيانات الشخصية للموظفين استخدام البيانات الشخصية ومعالجتها من خلال تركيبها وترابطها، مما يحدد مدى ملاءمة قدرات الموظف في ظروف تنظيم عملية الإنتاج.

لا يمكن تغيير الأهداف المحددة والمعلنة لمعالجة البيانات الشخصية دون إخطار الموظف.

نفذتها من؟

البيانات الشخصية تعني المعلومات التي تحتوي على معلومات أساسية عن شخص محل اهتمام دائرة معينة من ممثلي الحكومة والخدمات الأخرى.

على وجه الخصوص، في الإنتاج (في المنظمة)، تعد البيانات الشخصية ذات أهمية لصاحب العمل، الذي يدير تنظيم العمل في الإنتاج بناءً على معلومات حول موظفيه.

يحق لصاحب العمل طلب أي بيانات شخصية متوفرة في سجلات الموظف. بالإضافة إلى ذلك، فإن الوصول إلى البيانات الشخصية لديه دائرة محدودة من الأشخاص الذين يقومون بالعمل التشغيلي. كقاعدة عامة، هؤلاء هم موظفي السكرتارية وقسم شؤون الموظفين.

يخضع المشغل الذي يقوم بأنشطة المعلومات باستخدام البيانات الشخصية للتعليمات قبل بدء العمل المعين. يتعرف على قواعد ومبادئ التشغيل التي تحظر الكشف عن المعلومات الواردة في البيانات الشخصية.

يمكن أن يؤدي تنفيذ أنواع العمل المدرجة إلى تحقيق الأغراض التي كانت سببًا لجمع المعلومات حصريًا. ويعتبر سوء استخدام البيانات الشخصية أو الكشف عنها انتهاكًا جسيمًا تتحمل المسؤولية عنه.