Image

Trasferimento di dati personali a terzi

Selezione dei documenti più importanti su richiesta Trasferimento di dati personali a terzi (regolamenti, moduli, articoli, consigli di esperti e molto altro).

Regolamentazione: trasferimento di dati personali a terzi

Articoli, commenti, risposte alle domande: trasferimento di dati personali a terzi

Il documento è disponibile: nella versione commerciale Consulente Plus

Forme di documenti: trasferimento di dati personali a terzi

Il documento è disponibile: nella versione commerciale Consulente Plus

Il documento è disponibile: nella versione commerciale Consulente Plus

Articolo TKRF 88. Trasmissione dei dati personali del dipendente

Commento all'articolo 88

1. Come regola generale, i dati personali dei dipendenti non possono essere trasferiti a terzi. Le eccezioni a questa regola sono: 1) rilascio da parte del dipendente del consenso scritto per il trasferimento di dati personali a terzi; 2) trasferimento di dati personali del dipendente al fine di prevenire minacce alla vita e alla salute del dipendente; 3) casi stabiliti dalla legge federale.

2. Nel determinare l'ammissibilità al rilascio del consenso scritto di un dipendente al trasferimento di dati personali a terzi, dovrebbe essere guidato dalla Costituzione della Federazione Russa e dal paragrafo 9 dell'art. 86 del Codice del Lavoro, vietando a un dipendente il suo diritto alla privacy, segreti personali e familiari. Per il contenuto di tale accordo, si veda il paragrafo 3 dei commenti all'art. 86.

3. I destinatari dei dati personali di un dipendente su base legale sono:

Fondo di previdenza sociale della Federazione Russa;

Cassa pensione della Federazione Russa;

Ispettorato federale del lavoro;

Altri organi di controllo statale e controllo sul rispetto della legislazione sul lavoro;

Autorità esecutive, sindacati coinvolti nelle indagini sugli incidenti industriali.

In conformità con l'art. 5 della legge federale del 24 luglio 1998 N 125-FZ "In materia di assicurazioni sociali obbligatorie contro gli infortuni sul lavoro e le malattie professionali" le persone che svolgono un lavoro sulla base di un contratto di lavoro sono soggette all'assicurazione sociale obbligatoria contro gli infortuni sul lavoro e le malattie professionali. Paragrafo 7 dell'art. 17 della presente legge obbliga il datore di lavoro a raccogliere e presentare a proprie spese all'assicuratore, entro i termini stabiliti dall'assicuratore, i documenti che costituiscono la base per il calcolo e il pagamento dei premi assicurativi, l'assegnazione della copertura assicurativa e altre informazioni necessarie per l'attuazione dell'assicurazione sociale obbligatoria contro gli infortuni sul lavoro e le malattie professionali.

Il datore di lavoro è tenuto a fornire all'organismo competente della Cassa pensione della Federazione russa informazioni su tutte le persone che lavorano nell'ambito di un contratto di lavoro. Queste informazioni possono essere fornite sia sotto forma di documenti per iscritto, sia in formato elettronico (su supporti magnetici o tramite canali di comunicazione), a condizione che vi siano garanzie di autenticità e protezione da accessi e distorsioni non autorizzati. La questione della possibilità di fornire informazioni in forma elettronica è decisa dalla Cassa pensione della Federazione russa insieme a datori di lavoro specifici (articolo 8 della legge federale del 1 aprile 1996 N 27-ФЗ "Sulla contabilità individuale (personalizzata) nel sistema di assicurazione pensionistica obbligatoria").

Agendo come agente fiscale dei dipendenti che calcolano, deducono dai fondi versati ai dipendenti e trasferiscono le relative imposte al bilancio, il datore di lavoro è tenuto a presentare all'autorità fiscale nel luogo della sua registrazione i documenti necessari per controllare la correttezza delle imposte di calcolo, trattenute e trasferimenti (art. 24 del Codice Fiscale della Federazione Russa).

In conformità con l'art. 357 Gli ispettori del lavoro statale TC nell'attuazione delle attività di controllo di vigilanza hanno il diritto di richiedere ai datori di lavoro e di ricevere gratuitamente da loro i documenti e le informazioni necessarie per svolgere funzioni di supervisione e controllo, compresi i dati personali dei dipendenti.

Le informazioni su un incidente di gruppo sul lavoro, un grave incidente sul lavoro, un incidente sul lavoro con esito fatale dovrebbero essere inviate dal datore di lavoro alle organizzazioni indicate nell'art. 228,1 TC.

In conformità con la parte 5 dell'art. 20 della legge federale del 27 luglio 2004 N 79-ФЗ "Sul servizio civile della Federazione Russa" vengono fornite le informazioni su reddito, proprietà e obblighi patrimoniali dei dipendenti statali federali, nominati e destituiti dal Presidente della Federazione Russa o dal Governo della Federazione Russa, per la pubblicazione sui mass media tutti russi sui loro ricorsi con l'informazione simultanea dei dipendenti pubblici indicati a riguardo e informazioni su reddito, proprietà e obblighi ah proprietà natura del servizio civile del soggetto della Federazione Russa prevista per la pubblicazione ai media nazionali e regionali sulle loro applicazioni allo stesso tempo, informandolo di questi dipendenti pubblici.

4. In condizioni moderne, un datore di lavoro spesso fornisce alle sue controparti potenziali o effettive informazioni sui dipendenti impiegati per concludere un rinnovo o un rinnovo di un contratto già concluso. L'articolo commentato consente il trasferimento di dati personali di un dipendente negli interessi commerciali del datore di lavoro, ma limita tale trasferimento solo a quei casi in cui il dipendente dà il consenso scritto alla comunicazione di dati personali a una determinata terza parte per iscritto. L'emissione del consenso per il trasferimento dei dati personali dei dipendenti a una cerchia indefinita di terzi o senza limitare i tempi di tale trasferimento non comporta conseguenze legali e non può servire come base per il trasferimento dei dati personali dei dipendenti.

5. Poiché i dati personali sono classificati come informazioni riservate, chiunque sia in possesso di queste informazioni è tenuto a osservare una modalità speciale di utilizzo e protezione dei dati personali dei dipendenti. Pertanto, le persone che hanno ottenuto legalmente dati personali di un dipendente sono obbligati a usarle esclusivamente per gli scopi indicati al momento della richiesta di informazioni pertinenti e anche a non divulgare tali informazioni. Le eccezioni a questa regola sono determinate solo dalle leggi federali. La necessità di ulteriori trasferimenti di dati personali dei dipendenti può, in particolare, derivare dalla legislazione sui reati amministrativi e sulla legislazione in materia di procedura penale. Ad esempio, un protocollo su un reato amministrativo, che può contenere dati personali di un dipendente, nel caso in cui la persona che lo ha fatto non abbia il diritto di considerare un caso di reato amministrativo, viene trasmesso alla persona interessata entro 24 ore dal momento in cui è stato redatto il protocollo (articolo 28.8 del Codice Amministrativo Federazione russa).

Un datore di lavoro che trasferisce dati personali dei dipendenti a terzi ha il diritto di chiedere a queste persone l'uso strettamente mirato di questi dati e la presentazione di prove che questa regola è osservata. La forma di tale requisito è determinata dal datore di lavoro in modo indipendente, e il modulo per la presentazione di prove dell'esecuzione da parte di un terzo del suo obbligo di preservare la riservatezza dei dati personali è d'accordo delle parti.

6. Nelle attività di qualsiasi datore di lavoro nasce inevitabilmente la necessità di trasferire periodicamente i dati personali di un dipendente da un'unità strutturale (dipendente) a un'altra. Pertanto, le informazioni su un nuovo dipendente o sulle modifiche dei dati personali vengono trasmesse dal servizio di assistenza al reparto contabilità o al servizio di sicurezza. Tale trasferimento viene effettuato secondo le modalità previste dalla normativa locale. L'istituzione dell'obbligo di informare un dipendente con un atto del genere in un dipinto contribuisce alla trasparenza del lavoro sul trattamento dei dati personali e contribuisce a una più completa realizzazione del diritto umano alla protezione dell'inviolabilità della sua vita personale.

Sugli atti normativi locali, vedi art. 8 TC e commenti su di esso.

7. L'accesso ai dati personali dei dipendenti nel corso del loro trattamento è limitato alla cerchia di persone per le quali il trattamento di dati pertinenti è uno dei loro doveri ufficiali (personale, contabilità e altri servizi). Il diritto di accesso ai dati personali dei dipendenti è inoltre concesso alle persone che esercitano le funzioni di vigilanza e controllo sulla conformità della legislazione del lavoro da parte dei datori di lavoro, nonché alle persone che controllano la correttezza dei doveri del datore di lavoro come agente fiscale di un dipendente o di un assicurato nel sistema di assicurazione statale obbligatorio. Per maggiori informazioni sulle persone che esercitano le funzioni di supervisione e monitoraggio del rispetto della legislazione sul lavoro da parte dei datori di lavoro, cfr. Art. Art. 357, 366 - 369 TC e commento a loro.

Va notato che la regola stabilita dall'articolo commentato su queste persone che ottiene solo i dati personali di cui hanno bisogno per eseguire funzioni specifiche è difficile da attuare nella pratica. I dati personali del dipendente sono raccolti nel suo archivio personale, non sono soggetti a frammentazione e, in linea di principio, sono disponibili per la revisione da parte della persona che esercita le funzioni di controllo di vigilanza per intero. È possibile soddisfare i requisiti della legge con un lavoro chiaro con le persone che esercitano le funzioni di supervisione e controllo sul rispetto della legislazione del lavoro, da parte dei dipendenti impiegati da un particolare datore di lavoro, la cui funzione professionale è quella di lavorare con dati personali.

Quando si trasferiscono dati personali all'interno di un'organizzazione alla relativa unità strutturale (dipendente), la parte di dati personali necessaria per una specifica unità strutturale (dipendente) per l'esecuzione delle sue funzioni dovrebbe essere trasferita.

8. Informazioni sullo stato di salute di un cittadino sono un segreto medico. In conformità con l'art. 61 dei Fondamenti di legislazione sulla protezione della salute dei cittadini del 22 luglio 1993, il trasferimento di informazioni che costituiscono riservatezza medica a un datore di lavoro è consentito con il consenso di un cittadino o del suo rappresentante legale. Le eccezioni sono i casi in cui le informazioni sullo stato di salute del dipendente vengono trasmesse al datore di lavoro quando vi è una minaccia di diffusione di malattie infettive, avvelenamento di massa e lesioni o se vi sono motivi per ritenere che il danno alla salute di un cittadino sia causato da azioni illegali. Le informazioni sullo stato di salute mentale di un cittadino possono essere trasferite a un datore di lavoro solo nei casi stabiliti dalle leggi federali (Articolo 8 della legge della Federazione Russa del 2 luglio 1992 N 3185-1 "Sull'assistenza psichiatrica e le garanzie dei diritti dei cittadini nelle sue disposizioni").

L'articolo commentato limita il diritto del datore di lavoro a ricevere informazioni sullo stato di salute di un dipendente con i dati sulla base dei quali viene decisa la questione se il dipendente può svolgere una specifica funzione lavorativa. Sebbene l'articolo commentato consenta a un datore di lavoro di ricevere informazioni sullo stato di salute del dipendente (vale a dire, una persona che ha già stipulato un rapporto di lavoro con un datore di lavoro), va notato che il datore di lavoro ha bisogno di informazioni sullo stato di salute di un cittadino nella fase decisionale della conclusione di un contratto di lavoro. Tali informazioni sono ottenute dal datore di lavoro a seguito di una visita medica al termine di un contratto di lavoro. Per ulteriori informazioni, vedi Art. 69 TC e commenti su di esso.

Quando un datore di lavoro si rende conto del diritto di attrarre i lavoratori al lavoro straordinario, al lavoro durante il fine settimana e le vacanze non lavorative, il datore di lavoro dovrebbe avere informazioni sull'ammissibilità di portare a loro per ragioni mediche persone con disabilità, donne con bambini di età inferiore ai tre anni (Articoli 99, 113 del Codice del lavoro ). Al fine di determinare l'idoneità del dipendente a svolgere il lavoro assegnato e prevenire le malattie professionali, il datore di lavoro deve avere informazioni sulla salute dei lavoratori impegnati in lavori pesanti, lavorare con condizioni di lavoro dannose e (o) pericolose, lavoro associato al traffico. Al fine di proteggere la salute pubblica, un datore di lavoro dovrebbe avere informazioni sullo stato di salute dei lavoratori impiegati nelle organizzazioni dell'industria alimentare, della ristorazione e del commercio, degli acquedotti, dell'assistenza sanitaria e delle strutture per l'infanzia. Per ulteriori informazioni, vedi Art. Art. 65, 69, 213 TC e commento a loro.

9. I rappresentanti dei dipendenti in relazione all'ottenimento di dati personali di un dipendente sono soggetti terzi. Il trasferimento di tali informazioni ai rappresentanti dei dipendenti viene effettuato in conformità con le restrizioni e le regole stabilite dall'articolo oggetto di commento. I rappresentanti dei dipendenti sono tenuti ad osservare il regime di segretezza dei dati personali del dipendente ricevuto da loro.

Sui rappresentanti dei lavoratori, vedi Art. Art. 29 - 31 TC e commento a loro.

La gamma di informazioni sul dipendente, trasmesse ai rappresentanti dei dipendenti, è determinata dalle funzioni di questi rappresentanti. La funzione universale di qualsiasi rappresentante dei dipendenti nel campo dei rapporti di lavoro è la funzione della partecipazione alla contrattazione collettiva per la conclusione di un accordo collettivo o di un accordo. L'informazione universale che deve essere trasmessa ai rappresentanti dei lavoratori è l'informazione necessaria per la contrattazione collettiva.

Un sindacato come rappresentante dei lavoratori può anche svolgere particolari funzioni sociali determinate dal suo statuto. Per adempiere a tali funzioni, il sindacato dovrebbe avere, in particolare, informazioni sulla cerchia dei dipendenti del dipendente, la necessità di un trattamento specializzato del dipendente, ecc. Poiché la fornitura di tali informazioni, a differenza delle informazioni necessarie per la contrattazione collettiva, non è soggetta a specifiche leggi federali, presentato con il consenso scritto del dipendente.

Commenti al codice del lavoro della Federazione Russa

Requisiti per il trasferimento di dati personali a terzi

Essendo un proprietario di un'azienda privata, un manager o semplicemente un cittadino legalmente istruito, è necessario monitorare la legislazione della Federazione Russa e le sue modifiche in modo tempestivo. Recentemente, tali questioni di attualità sono diventate le norme dei dati dei cittadini.

Concetto, oggetto e soggetto

I dati personali sono considerati informazioni affidabili che hanno una connessione con una persona puramente specifica. Tali informazioni includono:

  • età, informazioni sulla data di nascita;
  • la città della sua nascita e registrazione;
  • Nome completo;
  • educazione ricevuta;
  • livello di salario;
  • stato civile.

Cioè, sono le informazioni che ti permettono di determinare senza dubbio chi è di chi parla.

Uno dei requisiti più importanti della legge è la riservatezza e la non divulgazione a terzi.

Il soggetto PD è la persona i cui dati vengono utilizzati. Oggi, le norme delle leggi regolano in modo chiaro e rigoroso ciò che è possibile e ciò che non può essere fatto con il PD di una persona. Puoi eseguire azioni solo quando non è contrario. C'è un elenco di fatti che si verificano quando tale consenso deve essere scritto a mano. Ad esempio, l'uso di informazioni sulla nazionalità, le preferenze nelle opinioni politiche, eventuali fatti sulla salute del soggetto e sulla sua vita chiusa.

Inoltre, nessuno è autorizzato a inserire un tale accordo (PD) (dati personali) in canali noti, ad esempio, su Internet.

Qual è l'oggetto del PD? Questo è principalmente:

  • dati che caratterizzano una determinata persona;
  • i fatti di una persona sposata;
  • fatti che possono essere identificati, così come informazioni su antenati e biografie;
  • informazioni su malattie e trattamento.

Oggetti di informazioni personali possono essere trovati in documenti come:

  • un passaporto di un cittadino o qualche altro valido vettore di una carta d'identità;
  • certificati contenenti informazioni sugli importi ricevuti dalla precedente società;
  • documenti per il bambino, certificato di matrimonio;
  • un questionario che i datori di lavoro devono compilare quando entrano per un colloquio;
  • certificato o qualche altro documento sull'istruzione;
  • record di occupazione;
  • ID militare;

Sfumature della legislazione

Lo scopo dei suddetti problemi è basato e regolato dalla Costituzione della Federazione Russa, dalla legislazione federale del nostro paese e dagli accordi internazionali della Federazione Russa.

La legge federale "sui dati personali" del 27 luglio 2006 n. 152-ФЗ regola queste relazioni in modo più approfondito.

  • la legittimità degli obiettivi e dei metodi di elaborazione della PD;
  • Irricevibilità nell'uso di informazioni eccessive che non raggiungono l'obiettivo;
  • i metodi e i tipi di azioni devono essere giustificati con gli obiettivi.

Concentrarsi sul risultato potrebbe essere molto diverso. Tra questi ci sono:

  • impiego di un cittadino sul posto di lavoro;
  • la fornitura di servizi medici;
  • dispositivo nella scuola materna, scuola, campo;
  • garantire la sicurezza dei dipendenti.

Il rispetto della legge è regolato anche dal Codice del lavoro. Ad esempio, parte 8 dell'art. 86 del Codice del lavoro della Federazione Russa afferma che tutti i dipendenti oi loro rappresentanti legali devono firmare il regolamento sui dati.

In questo caso, di norma, il datore di lavoro redige il giornale necessario per la raccolta e la conservazione delle firme.

Rotazione delle informazioni

L'ambito di applicazione del fatturato della PD comprende una varietà di operazioni, le principali delle quali saranno discusse di seguito.

Fornitura di informazioni - azioni in base alle quali i dati vengono trasferiti a qualsiasi altra persona.

Attualmente, l'elenco delle organizzazioni che li richiedono è piuttosto impressionante:

  • la scuola;
  • ospedali;
  • banche e altri istituti di credito;
  • organizzazioni che stanno facendo domanda per l'occupazione e molti altri.

Assolutamente qualsiasi azienda dovrebbe essere conforme alla legge, nelle cui mani cadono le informazioni individuali sulle persone. Molte aziende, ad esempio, vendono beni o servizi, raccolgono dati dai loro clienti. Devono agire chiaramente a questo riguardo. Una LLC o un singolo imprenditore deve modificare le forme dei documenti contrattuali con i propri dipendenti e clienti. Come opzione, sviluppare e prescrivere nel contratto una forma speciale di consenso al trattamento del PD.

L'elaborazione è l'armonizzazione dei dati in conformità con il sistema, la procedura per la raccolta, l'accumulo, la memorizzazione e la trasmissione, l'utilizzo in conformità con gli obiettivi, la cancellazione e altre manipolazioni con la conoscenza di un individuo.

Suggerimento: Sul sito Web della società, dove viene effettuato l'ordine, si consiglia di creare un marchio obbligatorio di informazioni personali. Che il cliente si impegna a fornire loro. E anche il fatto che i dipendenti dell'azienda hanno il diritto di inviarli al servizio di corriere.

Vale la pena ricordare che qualsiasi utilizzo di dati personali può essere volontario, ad eccezione di alcuni casi previsti dalla legge.

Regola le relazioni di cui sopra tra il soggetto e l'operatore (l'organizzazione che raccoglie, elabora, usa i dati) Spetsorgan - Roskomnadzor. Periodicamente, sono previste ispezioni in varie organizzazioni. Oltre a Roskomnadzor, Rostrud può seguire la conformità con la legge federale. Un leader competente non aspetterà la prossima multa, ma creerà nella sua organizzazione sulla base di una politica riguardante l'elaborazione del PD.

Comprenderà ordini, conoscenze, regolamenti e atti per tutti i dipendenti dell'organizzazione.

Il regolamento interno può, ad esempio, contenere i seguenti aspetti:

  1. Che cosa sono esattamente i dati personali in questo o quel caso;
  2. Le informazioni reali che documentano il datore di lavoro forniranno alle autorità.
  3. Quale dei colleghi avrà il diritto di lavorare con il PD. Di conseguenza, chi sarà responsabile per il rispetto di tutti gli atti e regolamenti.
  4. Quali misure vengono utilizzate in materia di conservazione e riservatezza.
  5. La procedura per il trasferimento di fatti relativi a una persona all'interno dell'azienda ea terzi.
  6. La procedura per chiarire le informazioni sui dati personali, l'ordine del loro blocco e cancellazione.

Caratteristiche della fornitura di dati personali

Nella parte 1 dell'art. 9 della legge n. 152-FZ, si osserva che un cittadino può essere d'accordo solo nella piena consapevolezza e comprensione di ciò che sta facendo. Lo scopo di questo regolamento è garantire i diritti e le libertà di un cittadino, compresa la privacy, nonché i segreti di famiglia.

Un cittadino ha il diritto di rifiutare in qualsiasi momento il consenso dato in precedenza, se non ha il desiderio di rivelarli. Soprattutto se tali informazioni in qualche modo violano i suoi diritti e interessi. Puoi farlo scrivendo una dichiarazione in un formato specifico. È necessario emetterlo in due copie, una rimane sulle mani con un segno di seconda mano all'operatore.

Tuttavia, in molte organizzazioni, anche nel mondo del lavoro, l'uso dei dati relativi a una persona è obbligatorio per l'inserimento nei rapporti contrattuali. In questa condizione, non puoi rifiutarti di fornire.

Oltre all'accordo sull'uso del PD, è necessario ricevere una decisione positiva sul trasferimento a 3 persone.

Ci sono alcune eccezioni quando le persone possono trasferire i dati sopra descritti a un cittadino senza il suo consenso. Questi casi includono:

  • quando trasferiti al controllo fiscale e all'autorità militare;
  • quando richiesto dalla polizia o dal pubblico ministero;
  • servizio in caso di minacce alla vita e alla salute umana;
  • sulla lettera degli ispettori del lavoro;
  • in caso di gravi danni alla vita e alla salute nell'autorità competente.

Allo stesso tempo, un istituto di credito, impiegati bancari, impiegati di compagnie di assicurazione non sono inclusi in questo elenco. Lì le informazioni arrivano con il consenso della persona.

Responsabilità per le violazioni

Per non conformità con i requisiti di responsabilità amministrativa. Secondo l'articolo 13.11 del Codice degli illeciti amministrativi della Federazione Russa, la punizione non è così grave - un avvertimento o una multa di importo compreso tra 500 e 1.000 rubli (per i civili), nell'intervallo da 5.000 a 10.000 rubli (per le persone giuridiche). Una responsabilità relativamente facile è incommensurabile con la complessità e la voluminosità del documento stesso. Attualmente, sono pendenti modifiche alla legge, secondo le quali le ammende possono essere aumentate a 300.000 rubli.

Insieme a una forma così lieve di punizione, la legge contiene informazioni sulla possibilità di avviare un procedimento penale in determinati casi.

La legge è adottata - significa che deve essere osservata, tracciare tempestivamente gli emendamenti e le modifiche.

Per i dettagli sul trasferimento dei dati personali, vedere il video qui sotto.

alishavalenko.ru

Record recenti

Commenti recenti

categorie

Trasferimento di un numero di telefono a terzi violazione della legge sui dati personali

  • 28.07.2018 /
  • 0 commenti

Inoltre, se questo numero viene assegnato a un individuo specifico nell'ambito di un contratto con un operatore di telecomunicazioni, non è affatto necessario parlare della natura impersonale dei numeri di selezione. E infatti, secondo l'art. 3 della legge, dati personali - qualsiasi informazione relativa a persone fisiche o giuridiche determinate direttamente o indirettamente (soggetto di dati personali), cioè il suo cognome, nome, nome patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, sociale, proprietà posizione, istruzione, professione, reddito, altre informazioni, in relazione alle quali si può concludere che il numero di cellulare è anche un dato personale. Inoltre, l'art.

È il numero di telefono dati personali

Una multa di 100 mila a 300 mila rubli, o privazione del diritto di detenere determinate posizioni per un periodo di tre a cinque anni, o lavoro forzato per un periodo fino a cinque anni (con privazione del diritto di detenere determinate posizioni per un periodo fino a sei anni o senza di esso) o l'arresto fino a sei mesi, o la reclusione fino a cinque anni (con la privazione del diritto di detenere determinate posizioni fino a sei anni). Un rifiuto illegale di un funzionario di fornire documenti e materiali che riguardano direttamente i diritti e le libertà di un cittadino, o rimborso di informazioni incomplete o volutamente false a lui, se ha causato danni ai diritti e interessi legittimi dei cittadini. Una sanzione fino a 200 mila.

Requisiti per il trasferimento di dati personali a terzi

Responsabilità per violazione della legge sui dati personali

Legge federale "Su dati personali" un operatore è un ente statale, un ente municipale, una persona fisica o giuridica, che organizza e (o) esegue l'elaborazione di dati personali, nonché definisce gli obiettivi e il contenuto dell'elaborazione dei dati personali. Allo stesso tempo, gli operatori di questi organismi e persone sono indipendentemente dall'inserimento nel registro degli operatori impegnati nel trattamento dei dati personali gestiti da Roskomnadzor. Domanda: In quali casi l'operatore ha il diritto di trattare i dati personali senza avvisare l'organismo autorizzato per la protezione dei diritti degli interessati? Risposta: secondo h.


1 cucchiaio. 22 della legge federale del 27 luglio 2006

Trasferimento di dati personali a terzi

Boris Voronin: "Solo il pigro non ha provato a scrivere il conto di un collezionista". Come direttore della National Association of Professional Collection Agencies (NAPCA), Boris Voronin, ci ha detto come vivere tra la legge sulla bancarotta delle persone e la legge sulla raccolta. Inoltre, fotocopiare un documento di identità, essendo una banca dati, non può essere considerato un trattamento di dati personali. Questo è stato anche ripetutamente riportato Roskomnadzor. Come interagire con banche e operatori mobili in caso di modifica del proprietario di un numero di carta SIM, modifica del numero di telefono o pagamento.
Ci sono domande su come interagire con le banche e gli operatori mobili in caso di sostituzione del proprietario di un numero di carta SIM, modifica del numero di telefono o pagamento quando si utilizzano le comunicazioni mobili.

Trasferimento di dati personali a terzi senza consenso

  • su funzionari - da 4 mila a 10 mila rubli;
  • per i singoli imprenditori - da 10 mila a 20 mila rubli;
  • per le persone giuridiche - da 25 mila a 45 mila rubli.

Parte 5 dell'art. 13.11 del Codice Amministrativo della Federazione Russa Mancato trattamento da parte dell'operatore dei dati personali senza l'utilizzo di strumenti di automazione l'obbligo di rispettare condizioni che garantiscano la loro sicurezza e precludano l'accesso non autorizzato ad essi, se ciò ha comportato l'accesso illegale o accidentale ai dati, la loro distruzione, modifica, blocco, copia, fornitura, distribuzione o altre azioni illegali in relazione ad esse.

  • per i cittadini - da 700 a 2 mila rubli;
  • su funzionari - da 4 mila a 10 mila rubli;
  • per i singoli imprenditori - da 10 mila a 20 mila rubli;
  • sulle persone giuridiche - da 25 mila a 50 mila

    principale

  • Risorse legali
  • Selezione di materiali
  • Trasferimento di dati personali a terzi

Selezione dei documenti più importanti su richiesta Trasferimento di dati personali a terzi (regolamenti, moduli, articoli, consigli di esperti e molto altro). Regolamentazione: trasferimento di dati personali a terzi Legge federale del 27.07.2006 N 152-FZ (modificata il 31/12/2017) "Su dati personali" 3. L'operatore ha il diritto di addebitare il trattamento di dati personali a un'altra persona con il consenso dell'interessato, salvo diversamente disposto stipulato dalla legge federale, sulla base di un contratto stipulato con questa persona, compreso uno stato o un contratto municipale, o mediante l'adozione di un atto pertinente da parte di uno stato o di un organismo municipale (di seguito, l'ordine dell'operatore).

  • Il trasferimento di dati personali a terzi senza il consenso del soggetto dei dati personali è illegale
  • L'uso di numeri di telefono, anche in assenza di ulteriori informazioni sui loro proprietari, richiede anche il consenso.
  1. È l'indirizzo email dei dati personali
  2. Responsabilità per violazione della legge federale "Su dati personali"
  3. È legale raccogliere dati personali da siti di annunci o social network?
  4. È legale creare basi di dati personali accessibili al pubblico?
  5. Chi ha il diritto di trattare i dati personali

Inizia newsletter Iscriviti gratuitamente ai messaggi Aggiungi un commento JComments © È vietato copiare i materiali del sito senza il permesso scritto di Target Telecom LLC OGRN 5147746239427Licenza n. 153002 Email: [email protetta] Telefono: +7 (495) 966 13 03 Indirizzo: Mosca, ul.

Trasferimento di un numero di telefono a terzi violazione della legge sui dati personali

Parte 6 dell'Art. 13.11 del Codice Amministrativo della Federazione Russa Insuccesso da parte di un operatore, che è un ente statale o comunale, l'obbligo di de-personalizzare i dati personali o la non conformità con i requisiti o i metodi stabiliti a tal fine. Avvertenza o imposizione di una sanzione amministrativa ai funzionari per un importo da 3 migliaia a 6 mila rubli. Parte 7 dell'Art. 13.11 del Codice Amministrativo della Federazione Russa Mancata presentazione o presentazione tardiva allo Stato o ad altro ente autorizzato di informazioni, la cui presentazione è prevista dalla legge o la fornitura di tali informazioni in forma incompleta o distorta. Ammende amministrative:

  • per i cittadini - da 100 a 300 rubli;
  • su funzionari - da 300 a 500 rubli;
  • per le persone giuridiche - da 3 mila a 5 mila

Codice amministrativo della Federazione Russa Trattamento dei dati personali senza il consenso scritto del soggetto, quando necessario, o elaborazione di dati in violazione dei requisiti per la composizione delle informazioni incluse in tale consenso Multa amministrativa:

  • sui cittadini - da 3 mila a 5 mila rubli;
  • su funzionari - da 10 mila a 20 mila rubli;
  • per le persone giuridiche - da 15 mila a 75 mila rubli.

Parte 2 dell'Art. 13.11 Codice degli illeciti amministrativi della Federazione russa Mancato rilascio da parte dell'operatore o in altro modo dell'accesso illimitato al trattamento dei dati personali Pena di avvertimento o sanzione amministrativa:

  • per i cittadini - da 700 a 1 migliaia di rubli;
  • su funzionari - da 3 mila a 6 mila rubli;
  • per i singoli imprenditori - da 5 mila a 10 mila rubli;
  • per le persone giuridiche - da 15 mila a 30 mila rubli.

Antonina Priezheva ha elencato ciò che i cittadini si lamentano quando scrivono denunce sulle banche. Per trasferire dati personali a terzi senza il loro consenso. Le banche richiedono un'eccedenza di dati personali, un rifiuto di rimuovere i dati personali alla fine della durata del contratto, l'elaborazione illecita dei dati.

I cittadini sono insoddisfatti del fatto che i loro dati vengano trasmessi a organizzazioni esterne. Molto spesso, i cittadini sono insoddisfatti del fatto che i loro dati vengano trasferiti a organizzazioni esterne al momento della riscossione dei debiti. Pertanto, questi reclami riguardano più spesso il lavoro delle banche con agenzie di recupero crediti.
La legislazione russa consente alle banche di elaborare i dati personali dei clienti e trasferirli a terzi - secondo uno schema di agenti, nonché nell'ambito di un accordo di cessione.

Trasferimento di dati personali a terzi nel 2018

Articoli correlati

Nel 2018, il datore di lavoro deve ottenere il consenso dei dipendenti a trasferire i propri dati personali a terzi. Possono esserci molte ragioni per il trasferimento dei dati, ad esempio la conclusione di contratti di assicurazione medica volontaria o la ricezione di carte salariali. Leggi la procedura, scarica il documento di esempio finito.

Quando è necessario trasferire i dati personali dei dipendenti a terzi?

La legislazione in materia di dati personali ogni anno impone requisiti più stringenti per la loro protezione. È ovvio che gli operatori li raccolgono non solo per archiviare e proteggere; l'elaborazione implica il loro trasferimento.

Scarica i documenti dall'articolo

L'articolo 88 della LC RF stabilisce che, in generale, il trasferimento di dati personali a terzi non è possibile. Tranne per due opzioni:

1. Il cancelliere ha dato il consenso scritto al trasferimento, mentre in precedenza era stato informato su chi e perché erano necessarie le sue informazioni personali.

2. I dati riservati vengono trasmessi senza il consenso del soggetto in casi speciali:

  • per dichiarare corpi;
  • con la minaccia alla vita e alla salute umana;
  • nei casi specificati dalla legge federale.

Elaboriamo una politica di elaborazione dei dati del personale in base ai nuovi requisiti di Roskomnadzor

Se tutto è chiaro con il primo paragrafo, il secondo ha bisogno di spiegazioni.

Per quanto riguarda le agenzie governative, il datore di lavoro non può trasmettere informazioni sui dipendenti. Questo è:

  • Fondo di previdenza sociale;
  • Cassa pensione;
  • Autorità fiscali;
  • Ispezione del lavoro;
  • Autorità esecutiva che indagano sugli incidenti nella compagnia.

È ovvio che il rifiuto del dipendente di mediare il datore di lavoro in collaborazione con queste istituzioni è impossibile.

Gli istituti di credito, le banche, le compagnie di assicurazione non sono inclusi in questo elenco. Le informazioni sono fornite a loro solo con il consenso scritto del dipendente.

► Riguardo al trasferimento del PD con una minaccia per la vita e la salute - si tratta di dare priorità alla sicurezza della vita umana. Ad esempio, in caso di un improvviso deterioramento della salute, della diffusione di infezioni e di avvelenamenti ripetuti, il datore di lavoro dovrà trasmettere su richiesta alla struttura sanitaria le informazioni che ha sulla salute del dipendente.

Inoltre, in alcuni settori, i dipendenti hanno bisogno di un esame medico preliminare (libro medico), i cui risultati sono presentati dalle autorità di regolamentazione durante le ispezioni.

► Per quanto riguarda i casi determinati dalla legge federale, ad esempio, la parte 5 dell'art. 20 della legge federale n. 79-ФЗ del 27 luglio 2004, che obbliga i media a pubblicare informazioni sui redditi e la proprietà dei dipendenti pubblici sui loro ricorsi.

Ci sono molte altre situazioni in cui il datore di lavoro ha dei dubbi: si può trasmettere PD o no.

► Trasferimento tra divisioni strutturali (dal funzionario del personale al contabile o al dipartimento di sicurezza). Questa procedura è necessaria ed è possibile, ma deve essere stabilita nel regolamento sulla protezione del PDN, con cui il dipendente è familiare. Lo scambio di dati avviene tra le persone incluse nell'ordine sui dipendenti che hanno accesso ai dati personali.

► Trasferimento ai parenti dei dipendenti. Nonostante stretti legami, sono terzi in questa situazione e non possono essere ottenuti senza il consenso del dipendente.

► Il trasferimento di informazioni al sindacato - con il consenso scritto del dipendente.

Come organizzare il lavoro con i dati personali in modo che sia conveniente per te e sicuro per l'azienda

Come è il trasferimento di dati

Quando si conclude un contratto di lavoro, è impossibile ottenere il consenso scritto del dipendente per fornire i propri dati personali a terzi in tutte le situazioni necessarie prima del momento del licenziamento.

L'algoritmo per il trasferimento di dati personali a terzi nel 2018 è il seguente:

Passaggio 1. Dall'istanza la richiesta scritta è arrivata al datore di lavoro. Il suo criterio principale è la motivazione. Il documento dovrebbe includere un'indicazione dello scopo della richiesta, un collegamento alla base giuridica della richiesta, un elenco di informazioni richieste.

Passaggio 2. Dopo aver analizzato il documento ricevuto, il datore di lavoro può immediatamente rifiutare di emettere il PD, se ha dei dubbi, sostenendo che le informazioni richieste sono assegnate per legge a informazioni con accesso limitato.

Libro di riferimento del funzionario del personale come regalo!

Passaggio 3. Se la richiesta è legittima, il gestore notifica al dipendente la necessità di concordare con il nome dell'istituzione che ha richiesto i dati e lo scopo del suo utilizzo.

Passaggio 4. Il dipendente scrive il consenso o il rifiuto di trasferire le informazioni.

Passaggio 5. Se si ottiene il consenso, il datore di lavoro invia al richiedente le informazioni necessarie che gli ricordano la responsabilità e gli chiede di fornire una relazione sull'uso dei dati in conformità con gli obiettivi dichiarati.

Passaggio 6. L'autorità che ha richiesto l'informazione, dopo aver completato le manipolazioni con esso, invia al capo del dipendente la conferma di averlo utilizzato in stretta conformità con gli obiettivi specificati nella richiesta originale.

Tutti i documenti citati sono redatti in forma libera, poiché non ci sono moduli unificati.

Nuove opportunità di carriera

Come dare il consenso al trasferimento di dati personali a terzi

Il documento è semplice da redigere, può essere pubblicato in forma stampata o manoscritta. Scritto a nome del capo del dipendente (nome, passaporto, permesso di soggiorno). L'essenza del documento è divulgata nella prima frase: una persona acconsente al suo datore di lavoro di fornire dati personali a una terza parte (nome dell'istituto) per uno scopo specifico. Quello che segue è un elenco delle informazioni che vengono trasmesse.

Quando si redige il documento, è consigliabile indicare per quanto tempo questo accordo sarà valido. L'accordo si conclude con la firma del dipendente e la data di redazione.

Responsabilità per le violazioni

Il trasferimento incoerente di dati personali a terzi nel 2018 è considerato la loro divulgazione e comporta la responsabilità di:

1. Disciplinare (osservazione, rimprovero, licenziamento).

2. Amministrativo (articolo 13 del codice amministrativo) sotto forma di ammenda:

  • 1-3 migliaia di rubli per i cittadini;
  • 5-10 mila rubli per i funzionari;
  • 20-50 mila rubli. per le organizzazioni.

3. Penale (articolo 137 del codice penale), se è provato che il trasferimento è stato intenzionale, sotto forma di:

  • 200 mila rubli multa;
  • lavoro obbligatorio 120-180 h;
  • lavoro esecutivo fino a 12 mesi;
  • arresto fino a 4 mesi.

4. Diritto civile. Secondo la decisione della corte, l'autore del reato è obbligato a risarcire la vittima per danni morali.

Come dare il consenso al trasferimento di dati personali a terzi? Campione e altre sfumature

La gestione dell'organizzazione in cui lavora il dipendente ha informazioni personali su di lui.

Per questo motivo, esiste una procedura stabilita ai fini del loro trasferimento, protezione, elaborazione e protezione dalla comunicazione a una terza parte, a insaputa del dipendente.

Quest'ultimo deve scrivere il consenso per iscritto. Scopriamo in dettaglio come è fatto, e vediamo anche un documento esemplificativo per il trasferimento di dati personali a terzi.

Cari lettori! I nostri articoli parlano dei metodi tipici per risolvere i problemi legali, ma ogni caso è unico.

Se vuoi sapere come risolvere esattamente il tuo problema - chiama, è veloce e gratuito!

Cos'è?

I dati personali si riferiscono a qualsiasi informazione relativa ad un individuo che sia appropriata o determinata sulla base di queste informazioni. Il trasferimento dei dati personali è disciplinato dall'articolo 88 della LC RF.

Destinatari ufficiali di informazioni personali

I destinatari ufficiali delle informazioni personali di un cittadino (a cui è possibile trasferire senza consenso) sono considerati le seguenti istituzioni:

  1. FSS della Federazione Russa (Fondo delle assicurazioni sociali): sulla base della legge federale n. 125 "In materia di assicurazione sociale obbligatoria contro gli infortuni sul lavoro e le malattie professionali".
  2. Cassa pensione della Russia: regolata dalla legge federale n. 27 "Sulla contabilità personalizzata nel sistema dell'assicurazione pensionistica obbligatoria".
  3. Servizi fiscali: secondo la legge n. 146 parte 1 del Codice Fiscale della Federazione Russa.
  4. Servizi di collocamento: in conformità con la legge federale n. 1032-1 "sull'occupazione in Russia".
  5. Gli organi del Ministero degli affari interni: Legge federale n. 3 "Sulla polizia", ​​legge federale n. 40 "Servizio federale di sicurezza", legge federale n. 144 "Attività operativa di ricerca".
  6. Commissariato militare: disciplinato dalla legge federale n. 53 "Servizio militare e servizio militare", l'Ordine del governo della Federazione russa n. 719 "Regolamento sulla registrazione militare", decreto del Presidente della Russia n. 1132 "Approvazione delle norme sui Commissariati militari".
  7. Altri servizi di controllo statale e supervisione del rispetto della legislazione sul lavoro.

Divulgazione a terzi

La legge federale "Sulla protezione dei diritti dei consumatori" comprende l'elaborazione e il successivo trasferimento dei dati personali dell'utente, se esiste il consenso di un dipendente. In questo caso, un documento è redatto per iscritto e conservato dal datore di lavoro. In caso di controversia, il documento diventa prova del consenso al trasferimento delle informazioni personali del dipendente a un'entità esterna.

Ogni azienda potrebbe trovarsi di fronte alla necessità di inviare periodicamente dati personali di un dipendente da un'unità strutturale a un'altra. Questa informazione viene inviata dal dipartimento Risorse umane al servizio di contabilità o sicurezza. In questo caso, l'istituzione deve informare il dipendente con l'atto di ottenere una firma che conferma il suo consenso.

Quali organizzazioni sono autorizzate a ricevere le informazioni personali di un dipendente con il suo consenso? Ad esempio, tali istituti possono diventare una banca per l'elaborazione di un conto non in contanti, in cui il datore di lavoro trasferirà lo stipendio e gli altri redditi del dipendente. O organizzazioni di credito in cui il cittadino ha richiesto un prestito o un prestito.

Scopo della carta

La disposizione specifica la procedura per la gestione dei dati personali dei dipendenti.

Il contenuto

La sezione 9 della legge sui dati personali afferma che contiene le seguenti clausole:

  • F. I. O. con l'indirizzo del dipendente.
  • Il numero con la data di rilascio e il nome dell'autorità che ha rilasciato il documento che certifica l'identità del dipendente.
  • Il nome con l'indirizzo legale del datore di lavoro, che riceve il consenso per iscritto.
  • Lo scopo corrispondente di inviare informazioni personali a terzi.
  • Un elenco specifico di informazioni riservate per le quali il dipendente è tenuto a dare il consenso.
  • Il periodo durante il quale questo documento è valido.
  • Procedura per la revoca del consenso di un dipendente.

Istruzioni dettagliate per la creazione di un documento con esempi

Per il documento sul trasferimento di informazioni personali, si consiglia di utilizzare le istruzioni riportate di seguito. Non ci sono requisiti specifici per la preparazione del documento nella legislazione, ma dovrebbe essere effettuata per iscritto.

All'inizio del documento indica il nome dell'istituzione con la posizione di manager, nel cui nome è scritto l'articolo, l'indice e l'indirizzo legale dell'azienda. Ad esempio:

450348, Mosca, Leninsky Prospect, 3/1

Di seguito è necessario indicare da chi l'accordo: FI I.O.O. il dipendente è indicato completamente nel caso genitivo. Ad esempio, Andreev Vyacheslav Gennadyevich. Corpo del testo.

A questo punto, il dipendente acconsente al trasferimento delle sue informazioni personali.

Qui è indicato F.I.O. O. impiegato con le informazioni del documento che attesta la sua identità e il luogo di residenza.

Andreev Vyacheslav Gennadyevich

serie di passaporti 3564 № 121227

rilasciato dal Dipartimento degli affari interni "Gagarino" di Mosca, Leninsky Prospect, 58-23

Residente all'indirizzo 454343, Mosca, Leninsky Prospect, 3/1 Il testo del documento in cui il dipendente dà il suo consenso.

Prendo una decisione sulla fornitura dei miei dati personali e accetto di elaborarli liberamente, secondo la mia volontà e il mio interesse ai sensi della legge federale n. 152.

  • Un elenco di informazioni personali che possono essere successivamente elaborate.
  • Organizzazioni specifiche autorizzate a trasferire dati personali.

    Banca "Mosca" per la registrazione di un conto non in contanti a cui il datore di lavoro trasferirà lo stipendio e altri redditi del dipendente. Un elenco di azioni con informazioni personali con una descrizione generale dei metodi di elaborazione che verranno applicati.

    Ad esempio: elaborazione mista (raccolta, sistematizzazione, accumulo, conservazione, perfezionamento, incluso trasferimento), depersonalizzazione, blocco, distruzione di dati personali. Il periodo durante il quale il documento è valido.

    Ad esempio, il periodo di consenso è di 5 anni.

  • Procedura per la revoca del consenso di un dipendente
  • Conclusione.

    La lista di informazioni sulla persona, che viene trasmessa dopo la sua autorizzazione

    1. nome completo
    2. Numero con luogo di nascita.
    3. Indirizzo di residenza con un numero di telefono.
    4. Stato civile
    5. Posizione sociale
    6. Stato della proprietà
    7. Istruzione.
    8. Professione.
    9. Ricavi e salari.
    10. Altre informazioni

    Altre informazioni includono dati sul passaporto dei dipendenti, esperienza lavorativa, numero di certificato di pensione, informazioni sul servizio militare e documenti militari, ecc.

    conclusione

    Il consenso al trattamento dei dati personali è ampiamente utilizzato in varie istituzioni, che vanno dalle organizzazioni municipali e termina con le società private. Il documento consente di trasferire legalmente le informazioni personali di un dipendente a una terza parte e serve come prova in caso di controversia.

    Misure di protezione dei dati personali

    Julia Bronskih, capo del dipartimento di sicurezza, "John Deere Rus"

    Che cosa sono i dati personali?

    All'estero, ci sono due approcci principali alla definizione dei dati personali: in alcuni stati (Paesi Bassi, Svezia, Nuova Zelanda, ecc.) Sono identificati con qualsiasi informazione rilevante per una particolare persona, in altri - i dettagli sono possibili, la definizione di determinati criteri per la classificazione delle informazioni categorie (Regno Unito e altri). Nel Regno Unito, non è consentito raccogliere dati su origini razziali, opinioni politiche, religiose e di altro tipo sui dipendenti, sulla loro salute fisica e mentale, sulla loro vita sessuale e precedenti penali. Negli Stati Uniti, molti stati hanno promulgato leggi che vietano agli imprenditori di indagare su lavoratori assunti in passato. Secondo queste leggi, prima di entrare in contatto con l'ex datore di lavoro, il nuovo datore di lavoro deve ottenere il consenso dal candidato per il posto di lavoro.

    In conformità con il Codice del lavoro della Federazione Russa, i dati personali indicano le informazioni necessarie per un datore di lavoro in connessione con l'instaurazione di rapporti di lavoro e relativi a un determinato dipendente (Articolo 85). In questo caso, il legislatore non stabilisce un elenco di tali informazioni.

    Ciò significa che la gamma di informazioni e il tipo di informazioni che costituiscono i dati personali del dipendente dovrebbero essere definite nell'atto normativo locale, ma entro i limiti stabiliti dalla legge federale.

    Un altro documento in cui è riportata la caratteristica dei dati personali è la legge federale n. 152 "Dati personali". Indica che i dati personali sono qualsiasi informazione relativa a una persona fisica determinata sulla base o determinata sulla base (l'oggetto dei dati personali). Comprende cognome, nome, patronimico, data, mese, anno e luogo di nascita, nonché indirizzo, famiglia, stato sociale, proprietà, istruzione, professione, reddito e altro.

    Fornitura di dati obbligatori e volontari

    La fornitura di dati può essere obbligatoria e volontaria. Obbligatorio è previsto dalle leggi federali (ad esempio, la legge federale n. 27-ФЗ del 1 aprile 1996 "Sulla contabilità individuale (personalizzata) nel sistema di assicurazione pensionistica obbligatoria") al fine di proteggere le basi dell'ordine costituzionale, la morale, la salute, i diritti e gli interessi legittimi di altre persone e garantire la difesa sicurezza nazionale e statale (l'elenco è riportato nel paragrafo 2 dell'articolo 9 della legge federale "Dati personali").

    Senza ottenere il consenso del soggetto, il trattamento dei suoi dati personali può essere effettuato al fine di adempiere al contratto, una delle parti di cui è o se è necessario per la consegna di posta, ecc. L'elenco completo di tali eccezioni è riportato al paragrafo 2 dell'art. 6 FZ № 152

    La riservatezza non è richiesta per i dati personali disponibili pubblicamente. Così, il tribunale mondiale della capitale ha rifiutato di fornire consulenza al presidente della Federazione Russa Sergey Dubik nei reclami contro il portale "Controllo Civile", che, secondo il funzionario, i suoi dati personali sono stati resi illegittimamente pubblici. La corte ha riconosciuto come legittima la pubblicazione sul sito web di Civil Control del nome e della posizione del consigliere di Putin, e il giudice ha stabilito che l'uso di informazioni sui nomi e sulle posizioni dei dipendenti pubblici nelle pubblicazioni non costituisce una violazione della legge.

    La tua azienda è un operatore?

    Se un'organizzazione, ad esempio, trasferisce i dati dei dipendenti a una banca per l'emissione di una carta "salario", allora è un operatore. Se la società ha clienti - individui, allora dovrebbe anche essere considerata come un operatore. Se un'impresa trasferisce dati personali ad altre organizzazioni, a qualsiasi persona, allora è l'operatore.

    L'articolo 22 della legge federale "sui dati personali" attribuisce agli operatori l'obbligo di notificare all'organismo autorizzato la protezione dei diritti delle persone cui si riferiscono i dati personali circa la loro intenzione di eseguire tale procedura prima del trattamento dei dati personali. Le notifiche devono essere inviate per iscritto e firmate da una persona autorizzata o inviate elettronicamente e firmate con una firma digitale Gli operatori devono registrarsi nel Registro dei gestori di dati personali sul sito Web Roskomnadzor: http://www.rsoc.ru/p582/p585/ e indicare lo scopo elaborazione dei dati personali.

    Ciò può essere, ad esempio, la documentazione del personale dei dipendenti in base a un contratto di lavoro; esecuzione di un contratto di lavoro; selezione del personale; supporto di impiegati stranieri; promozione di beni sul mercato; vendita di spazi pubblicitari; ritorno dei passaporti smarriti; contabilità di ricorsi all'ufficio medico; organizzazione del controllo degli accessi; automazione dello scambio di posta.

    Per quanto riguarda i motivi in ​​base ai quali il datore di lavoro ha il diritto di trattare i dati personali senza informare Roskomnadzor, essi sono elencati nella parte 2 dell'art. 22 della legge federale del 27.07.2006 n. 152-ФЗ "Dati personali". In particolare, questo può essere fatto se i dati personali del dipendente sono utilizzati in conformità con le leggi sul lavoro. È consentito elaborare tali dati esclusivamente al fine di garantire la conformità con le leggi e altri atti normativi, assistere i dipendenti nell'impiego, nella formazione e nella promozione, creare condizioni per la sicurezza personale del personale e la conservazione delle proprietà dell'organizzazione, controllo di qualità del lavoro svolto (Articolo 86 del Codice del lavoro della Federazione Russa).

    Pertanto, non è necessario inviare notifiche al trattamento dei dati personali a Roskomnadzor quando i dati personali dei dipendenti sono trattati in conformità con la legislazione sul lavoro. Allo stesso tempo, se un datore di lavoro intende versare un salario a un dipendente tramite una carta di credito o stipulare un contratto di assicurazione medica volontaria nell'ambito di un progetto di "salario" congiunto con una banca, tali rapporti vanno oltre la portata della legislazione sul lavoro. In tale situazione è necessario inviare una notifica standardizzata a Roskomnadzor.

    Protezione dei dati personali

    A causa dei requisiti della legge federale del 27 luglio 2006 n. 152-ФЗ "Dati personali", ogni persona giuridica è obbligata ad adottare misure per proteggere i dati personali e ha il diritto di determinare l'elenco di tali misure in modo indipendente.

    Le misure per la protezione dei dati personali possono essere suddivise in due grandi sottogruppi: protezione interna ed esterna dei dati personali.

    Le misure per la protezione interna dei dati personali comprendono le seguenti azioni:

    • limitando il numero di dipendenti (con la regolamentazione delle loro posizioni) che sono aperti all'accesso ai dati personali. Chi può includere questa lista? Assolutamente tutti coloro che hanno accesso agli affari personali, cioè al personale del dipartimento del personale o ai responsabili della gestione degli archivi del personale-
    impiegati, contabili, segretari, impiegati, specialisti che stipulano contratti con privati, ingegneri, programmatori, avvocati;

    • nomina di una persona responsabile che assicuri la conformità dell'organizzazione alla legislazione in questo settore;

    • approvazione dell'elenco di documenti contenenti dati personali;

    • pubblicazione di documenti interni sulla protezione dei dati personali, monitoraggio della loro conformità;

    • familiarizzazione dei dipendenti con le normative vigenti in materia di protezione dei dati personali e atti locali; effettuare controlli sistematici sulle conoscenze pertinenti dei dipendenti che trattano dati personali e sulla loro conformità ai requisiti dei documenti normativi sulla protezione delle informazioni riservate. Va tenuto presente che tutti i dipendenti che hanno accesso ai dati personali di altre persone dovrebbero conoscere le peculiarità della legislazione in materia di protezione dei dati personali;

    • posizionamento razionale dei luoghi di lavoro per prevenire l'uso non autorizzato di informazioni protette;

    • approvazione dell'elenco delle persone autorizzate ad accedere ai locali in cui sono archiviati i dati personali;

    • approvazione della procedura per la distruzione delle informazioni;

    • individuazione ed eliminazione delle violazioni dei requisiti di protezione dei dati personali;

    • svolgere attività preventive con i dipendenti per impedire loro di divulgare dati personali.

    Tra le misure per la protezione esterna dei dati personali ci sono le seguenti:

    • introduzione del controllo degli accessi, la procedura per ricevere e registrare i visitatori;

    • l'introduzione di mezzi tecnici di protezione, protezione software delle informazioni su supporti elettronici, ecc.

    Nonostante il fatto che la legge non stabilisca requisiti specifici per il numero e il contenuto degli atti locali adottati dall'organizzazione per quanto riguarda il trattamento e la protezione dei dati personali, la pratica di attuare questo atto normativo ha formato il minimo necessario di documenti che l'azienda deve sviluppare:

    • un documento comune che determina la politica di una società in relazione al trattamento dei dati personali, ad esempio una disposizione sui dati personali;

    • elenco delle persone che trattano dati personali;

    • un ordine di nomina di un dipendente responsabile per l'organizzazione del trattamento dei dati personali. La persona specificata deve esercitare il controllo interno sulla conformità della società e dei suoi dipendenti con la legislazione sui dati personali, compresi i requisiti per la loro protezione, comunicare al personale le disposizioni della legislazione sui dati personali, gli atti locali sul loro trattamento, nonché i requisiti per la protezione di tali dati, organizzare la ricezione e il trattamento di richieste e richieste di dati personali e (o) controllare la ricezione e l'elaborazione di tali richieste e richieste;

    • una disposizione sulle misure legali, organizzative e tecniche per proteggere i dati personali dall'accesso illecito o accidentale agli stessi, la loro distruzione, alterazione, blocco, copia, fornitura, diffusione e altre azioni illegali in relazione ai dati personali. In questa disposizione, si raccomanda di prescrivere misure specifiche per la protezione dei dati personali (l'introduzione del controllo degli accessi, l'uso di software per proteggere le informazioni - password, programmi antivirus, memorizzazione dei dati personali separatamente da altre informazioni, su supporti tangibili separati e in locali appositamente attrezzati con accesso limitato, ecc. d).;

    • un atto locale che stabilisca procedure volte a prevenire e individuare le violazioni della legge in materia di protezione dei dati personali e ad eliminare le conseguenze di tali violazioni. Ad esempio, un'azienda può sviluppare un piano di azione per il controllo interno della sicurezza dei dati personali, istruzioni su come condurre un'indagine interna sulle violazioni della legge in materia di protezione dei dati personali, tenere registri di controllo antivirus e controllare il lavoro con dati personali, diario di addestramento, istruzione e certificazione problemi di protezione dei dati personali.

    Altre misure organizzative e tecniche volte a proteggere i dati personali

    Bisogna anche prestare attenzione alle misure organizzative e tecniche volte a proteggere i dati personali. Ecco come potrebbe essere la loro lista:

    • approvazione dei requisiti per la stanza in cui sono archiviati i dati personali.

    Va tenuto presente che non sono stabiliti dalla legge. Tuttavia, se procediamo dalle leggi simili esistenti, prendere in considerazione le disposizioni del Codice del lavoro della Federazione Russa, al fine di evitare l'accesso non autorizzato ai dati personali su carta, è necessario dotare la stanza in cui sono memorizzati con gli armadietti. L'atto normativo locale dovrebbe stabilire i requisiti per i locali in cui sono archiviati i dati personali, nonché emettere un ordine che definisca i locali in cui vengono elaborati i dati personali e approvare l'elenco delle persone autorizzate ad accedervi;

    • assicurare la protezione del software del sistema informativo dell'organizzazione. Quando si utilizzano sistemi elettronici per il trattamento di dati personali, è necessario tenere conto dei requisiti per garantire la sicurezza di tali dati stabiliti nei regolamenti sulla sicurezza dei dati personali quando sono trattati in sistemi di dati personali. Ciò include la limitazione dell'accesso a determinate informazioni nei sistemi di informazione (ad esempio, l'impostazione di password, ecc.). È inoltre consigliabile limitare l'accesso ai database elettronici contenenti dati personali degli azionisti mediante un sistema di password a due livelli: a livello di rete di computer locale ea livello di database. Le password devono essere impostate rispettivamente dall'amministratore del database e dall'amministratore di rete e comunicate individualmente ai dipendenti che hanno accesso ai dati personali e devono essere modificate il più spesso possibile (ad esempio, mensilmente);

    • tenere un registro di lavoro con i dati personali. Al fine di rispettare la modalità confidenziale di lavoro con i dati personali, è consigliabile tenere un registro dell'emissione di dati personali ad altre persone, organizzazioni ed enti governativi. Dovrebbe registrare le richieste in arrivo, nonché registrare informazioni sulla persona che ha inviato la richiesta, la data del trasferimento dei dati personali o il fatto di notificare il rifiuto di fornirle, nonché annotare quali informazioni sono state trasmesse.

    Trasferimento di dati personali a terzi

    Ci sono molte ragioni per trasferire i dati personali a terzi - stipulare contratti per un'assicurazione medica aggiuntiva, ottenere carte bancarie "paghe", ecc. Se l'organizzazione è grande - diverse migliaia di dipendenti, il consenso per il trattamento dei dati personali da ciascuno di essi può richiedere molto di tempo. E i lavoratori stessi non ne saranno contenti. Quindi, sorge la domanda: è possibile risolvere questo problema in anticipo includendo questa clausola nel contratto di lavoro?

    Dalla mia esperienza personale, dirò che in ogni caso, è necessario raccogliere il consenso per il trasferimento dei dati da parte di tutti. Naturalmente, la clausola pertinente può essere inclusa nel contratto di lavoro, ma sarà comunque necessario soddisfare il requisito per ottenere il consenso del dipendente. E sarà più facile rilasciare questo consenso separatamente.

    Stipulare un contratto collettivo con i dipendenti ed elencare tutte quelle terze parti a cui verranno trasferiti i dati personali, indicando il loro nome, indirizzo, scopo del trasferimento dei dati a loro, incluso un elenco delle loro possibili azioni con dati personali e specificando il periodo durante il quale elaboreranno questi dati. Tutti i dipendenti firmeranno e il caso sarà chiuso.

    Quali organismi di controllo hanno il diritto di richiedere dati personali

    I tribunali e gli altri organismi preposti all'applicazione della legge possono liberamente ricevere dalle società dati personali di dipendenti, clienti o appaltatori senza il consenso di quest'ultima. Ma la risposta alla domanda se altre strutture di vigilanza abbiano diritti simili e quali siano, deve essere trovata non solo nelle leggi, ma anche nella pratica giudiziaria.

    Pertanto, la Ninth Arbitration Court of Appeal nella sua decisione del 25 giugno 2009 nel caso n. A40-76345 / 08-122-112 ha indicato che un membro del servizio di ufficiale giudiziario non ha il diritto di richiedere e ricevere informazioni contenenti dati personali dei cittadini. In particolare, la corte ha osservato che né la legge federale del 21 luglio 1997 n. 118-ФЗ "On Bailiffs", né la legge federale del 02.01.2007 n. 229-ФЗ "sui procedimenti di esecuzione" non conferiscono agli ufficiali giudiziari il diritto di ricevere dati personali senza il consenso dei loro soggetti, non stabilisce le condizioni per ottenere tali dati, non definisce la gamma di soggetti i cui dati personali sono soggetti a trattamento, così come i poteri dell'ufficiale giudiziario di elaborarli.

    Trasferimenti transfrontalieri

    Se la tua azienda trasferisce dati personali in un altro paese, si pone il problema di proteggere i dati personali durante i loro movimenti transfrontalieri.

    Che cos'è il trasferimento di dati transfrontalieri? Questo è il trasferimento di dati personali da parte dell'operatore attraverso il confine di stato della Federazione Russa a un'autorità, persona fisica o giuridica di uno stato straniero. Nella Federazione russa, uno dei criteri per valutare uno stato dal punto di vista dell'organizzazione di un livello adeguato di protezione è il fatto che ratifica la Convenzione per la protezione dei diritti delle persone nel trattamento automatizzato dei dati personali del 28 gennaio 1981, ETS n. 108.

    Prima dell'inizio del trasferimento, l'operatore deve garantire che i diritti dei soggetti di dati personali siano adeguatamente protetti nel territorio di uno stato straniero.

    Il punto critico è la dicitura "protezione adeguata", poiché i criteri di adeguatezza non sono definiti ovunque, mentre il buon senso suggerisce che una protezione conforme alla legislazione russa possa essere considerata adeguata.

    L'adesione di uno stato straniero alla Convenzione per la protezione delle persone nel trattamento automatizzato dei dati personali (Strasburgo, 1981, con modifiche nel 1999) consente di classificarlo tra coloro che garantiscono una protezione adeguata. Ma, per esempio, gli Stati Uniti non hanno ratificato questa convenzione. Esiste un tale programma negli Stati Uniti - Porto sicuro dell'UE. Regola le relazioni solo tra l'UE e gli Stati Uniti. Non entriamo nell'UE. Negli Stati Uniti, non esiste una legislazione che regoli i dati personali. C'è solo una menzione nelle leggi statali della cosiddetta privacy (http://www.oecd.org/internet/interneteconomy/oecdgu idelinesdella protezione della privacy e del traffico transfrontaliero dipersonaldata.htm).

    Per dimostrare l'adeguatezza della protezione dei dati personali quando li trasferisci a una filiale estera di una società, è necessario attuare una serie di attività, compreso lo sviluppo di un documento (o più) che rifletta i seguenti punti chiave:

    • disposizioni generali (struttura organizzativa della società, paese (paesi) in cui vengono trasmessi i dati personali, lo scopo del trasferimento e
    elaborazione dati personali all'estero);

    • giustificazione legale per il trasferimento transfrontaliero di dati personali (un elenco di documenti normativi sulla base dei quali i dati personali sono trasmessi e trattati);

    • descrizione dell'oggetto di protezione;

    • caratteristiche dei dati personali trasmessi (categorie di dati personali inviati all'estero, categorie di dati personali, metodi di trattamento dei dati: automatizzati, non automatizzati, misti);

    • norme per garantire lo scambio sicuro di dati personali con filiali estere (uffici di rappresentanza) (descrizione dei sistemi di informazione dei dati personali da cui sono trasmessi, nonché DOCUP, dove sono trasferiti, trasferimento di canali dati, standard e protocolli di trasferimento dati, ecc.). Descrizione delle misure e dei mezzi per garantire la protezione dei dati trasmessi (misure organizzative, mezzi tecnici di protezione delle informazioni, compresa la crittografia);

    • la composizione della legislazione di uno stato estero, che riflette le questioni relative alla protezione dei dati personali;

    • disposizioni finali (obblighi di una succursale estera per conformarsi alla legislazione sul trattamento dei dati personali del paese in cui si trova, per garantire un'adeguata protezione dei dati personali ricevuti e trattati, certificata dalla firma delle persone responsabili dell'organizzazione madre e di una filiale estera).

    Queste misure consentiranno di ridurre al minimo i rischi legati alla realizzazione di minacce ai dati personali durante la loro trasmissione transfrontaliera e ad aumentare la responsabilità dei funzionari per il rispetto degli standard di sicurezza delle informazioni stabiliti.

    Quanto conservare?

    La modalità di riservatezza dei dati personali viene rimossa in caso di spersonalizzazione o dopo un periodo di conservazione di 75 anni, se non diversamente specificato dalla legge.

    Secondo la legge federale 152, i dati personali devono essere distrutti dall'operatore al raggiungimento dell'obiettivo di elaborazione. E, per esempio, i documenti primari sugli archivi e sulle retribuzioni del personale devono essere conservati per 75 anni. Ma devono essere conservati nell'archivio e FZ-152 non si applica all'archivio in conformità con la legge sull'archivio. Pertanto, dopo aver inviato i documenti all'archivio, l'organizzazione non può più memorizzare queste informazioni in sé.

    Per quanto riguarda le assenze per malattia, questo vale per l'argomento. Ad esempio, se il dipendente ha smesso, non ha avuto il tempo di ricominciare e si è ammalato, quindi l'elenco dei malati viene calcolato sulla base delle sue entrate dall'ultimo posto di lavoro. In conformità con la legislazione fiscale, un'organizzazione deve conservare tutti i documenti finanziari negli ultimi cinque anni per un controllo fiscale. Inoltre, il periodo di conservazione è calcolato dall'inizio del nuovo anno fiscale o dalla data in cui il caso è trasferito all'archivio, e questo di solito si verifica anche alla fine dell'anno. Inoltre, fino a cinque anni è consentito archiviare i documenti nell'organizzazione, senza trasferirli all'archivio.

    Decreto del Governo della Federazione Russa del 1 novembre 2012 n. 1119 "Approvazione dei requisiti per la protezione dei dati personali quando sono trattati in sistemi di informazione di dati personali"

    Quindi, la risoluzione del governo della Federazione Russa del 2007 n. 781 è diventata invalida. Il nuovo decreto n. 1119 unisce due progetti, uno dei quali definisce i livelli di sicurezza delle informazioni contenenti dati personali, e il secondo, i requisiti per la loro sicurezza. Per ulteriori informazioni sul testo del documento, visitare www.government.ru. In effetti, poco è cambiato. La stessa valutazione della conformità, lo stesso giornale elettronico incomprensibile, gli stessi requisiti per l'approvazione dell'elenco delle persone autorizzate, l'istituzione di un regime di sicurezza nei locali, lo stesso riferimento ai documenti normativi della FSTEC e dell'FSB. Il decreto stabilisce che l'operatore deve selezionare il set di dispositivi di protezione in modo indipendente, in base ai regolamenti precedentemente adottati dell'FSB e della FSTEC.

    Secondo il documento, le attuali minacce alla sicurezza dei dati personali sono le condizioni e i fattori che creano il potenziale pericolo di accesso non autorizzato alle banche dati durante il loro trattamento, a seguito della quale i dati possono essere distrutti, modificati, bloccati o dati a terze parti che non hanno accesso ad essi.. Inoltre, la risoluzione definisce tre tipi di minacce ai sistemi di informazione contenenti i database degli utenti, nonché quattro livelli di sicurezza del sistema di informazione.

    Il paragrafo 13 della risoluzione n. 1119 richiede che nei locali in cui vengono elaborati i dati personali venga fornita una modalità di sicurezza in conformità con il 4 ° (minimo) livello di sicurezza. Quando questo documento è soddisfatto, diventa quasi impossibile utilizzare i dispositivi mobili per l'elaborazione di dati personali al di fuori dei locali in cui viene fornita la sicurezza. Di conseguenza, l'uso di agenti di polizia stradale, funzionari delle dogane o medici tablet e smartphone fuori dai loro uffici è illegale.

    Ora non esiste una classificazione dettagliata delle minacce, quindi eseguiamo autonomamente la valutazione e stabiliamo il livello appropriato di protezione per neutralizzarle. Per garantire il livello di sicurezza richiesto, è necessario attuare una serie di misure organizzative e tecniche per selezionare gli strumenti di protezione delle informazioni, e ciò dovrebbe essere fatto, concentrandosi sui documenti dell'FSB e della FSTEC.

    Esistono restrizioni all'uso di dispositivi di protezione per diversi livelli di sicurezza? Questa domanda non è divulgata né nella legge federale 152 né nel decreto governativo n. 1119 del RF.

    • Per Ulteriori Informazioni Sulla Prevenzione Delle Vene Varicose

    © 2024 medicaldewata.com Tutti I Diritti Riservati