نموذج بيان عن البيانات الشخصية لهذا العام. اللوائح المتعلقة بالبيانات الشخصية للموظفين: هيكل العينة

النقطة الأولى فيه هي موافقة الموضوع (في في هذه الحالةالموظف) لتلقي وتخزين واستخدام المعلومات من هذا النوع من قبل صاحب العمل. لا تتم معالجة أي بيانات بيومترية - الصور ومقاطع الفيديو وبصمات الأصابع ومسح القزحية وعينات الحمض النووي - دون موافقة كتابية. تنزيل نموذج فارغ تنزيل في .doc تنزيل نموذج مكتمل تنزيل في .doc هام: يمكن فقط تلقي المعلومات الضرورية للتنفيذ ومعالجتها بشكل قانوني دون موافقة الموظف عقد التوظيف! اقرأ عن الموضوع في المجلة الإلكترونية حماية البيانات الشخصية: التوثيق لا يتم فقط تقديم الموافقة على معالجة البيانات الشخصية كتابيًا.

أولاً

انتباه

تنزيل نموذج فارغتحميل in.doc تنزيل نموذج مكتملتحميل in.doc التزامات عدم الكشف عن البيانات الشخصية للموظفين - 2017 يتم التوقيع على التزام بعدم الكشف عن البيانات الشخصية للموظف في عام 2017 من قبل كل من هو بطريقة أو بأخرى آخر يشارك في معالجتها. المبدأ الأساسي للوصول هو الاستخدام المستهدف للمعلومات. يستخدم المحاسب معلومات حول الموظف لحساب الرواتب وحجب ضريبة الدخل الشخصي، ويستخدم ضابط شؤون الموظفين معلومات حول ملف شخصي ووثائق الموظفين الحالية، وما إلى ذلك.

أثناء العمل، يجب عليك الالتزام الصارم بالمتطلبات التي حددها صاحب العمل - لا تترك المستندات دون مراقبة، ولا تنقلها إلى أطراف ثالثة، ولا تكشف عن كلمات مرور الوصول إلى النماذج الإلكترونية التي تحتوي على معلومات سرية واتبع "اللوائح" في كل شيء.

قواعد تخزين واستخدام البيانات الشخصية للموظفين

معلومات

ولجميع الموظفين الآخرين الحق في ذلك معلومات كاملةفقط فيما يتعلق ببياناتهم الشخصية ومعالجة هذه البيانات. 4.1.2. لا يُسمح بالحصول على معلومات حول البيانات الشخصية للموظفين من قبل طرف ثالث إلا في حالة وجود بيان يشير إلى بيانات شخصية محددة والأغراض التي سيتم استخدامها من أجلها، بالإضافة إلى موافقة كتابية من الموظف الذي يتم طلب بياناته الشخصية. 4.1.3. يمكن الحصول على البيانات الشخصية للموظف من قبل طرف ثالث دون موافقته الكتابية في الحالات التي يكون فيها ذلك ضروريًا لمنع تهديد حياة الموظف وصحته، وكذلك في الحالات التي ينص عليها القانون.

4.2. الوصول الخارجي (المنظمات الأخرى والمواطنين).

كيفية إصدار أمر اعتماد لائحة الرواتب؟

قد يخضع المتخصصون الذين قبلوا مسؤوليات الامتثال لقواعد العمل مع البيانات الشخصية للمسؤولية التأديبية أو المالية. ويجب تحديد هذه الشروط في عقد عمليجب أن يكون الموظف على دراية بالوثائق الداخلية التي تحكم حماية المعلومات السرية. تنشأ المسؤولية المالية عندما يكون من الممكن حساب الخسائر الناجمة عن أعمال غير قانونية (على سبيل المثال، عندما يتم فرض غرامة على مؤسسة أو تعويض عن الضرر).
شاهد الفيديو حول الموضوع: تجتذب سلطات المراقبة صاحب العمل والأشخاص المسؤولين عن الانتهاكات في جمع البيانات الشخصية وتخزينها واستخدامها بموجب قانون الجرائم الإدارية. اعتبارًا من 1 يوليو 2017، أصبح هذا النوع من المسؤولية أكثر صرامة - حيث يتزايد عدد الغرامات، وتصبح العملية نفسها أكثر بساطة.

نموذج التزام بعدم الكشف عن البيانات الشخصية للموظفين

مهم

يجب تحذير الأشخاص الذين يقومون بتجميع هذه المعلومات ومعالجتها بأنهم يعملون مع البيانات الشخصية وأنهم مسؤولون عن عدم الكشف عن المعلومات. اقرأ مقالات مفيدة حول هذا الموضوع: اللوائح المتعلقة بالبيانات الشخصية للموظفين 2017 الفن. 87 من قانون العمل في الاتحاد الروسي يتطلب من صاحب العمل تنظيم العمل بالبيانات الشخصية للموظفين، لكنه لا يحدد كيفية القيام بذلك. ومن الناحية العملية، يتم الوفاء بالالتزام عن طريق إنشاء بيان بشأن البيانات الشخصية أو مستند محلي آخر.

يجب أن يكون موظفو الشركة على دراية بالقانون الداخلي ضد التوقيع، وأن يحصلوا أيضًا على إذن لمعالجة المعلومات. في عام 2017، أصبحت مسؤولية صاحب العمل والأشخاص المرخص لهم عن الكشف عن المواد السرية أكثر صرامة، لذلك ينبغي إيلاء اهتمام وثيق لمحتوى اللوائح المتعلقة بالبيانات الشخصية للموظفين وحمايتهم.

أمر بشأن الموافقة على اللائحة التنظيمية المتعلقة بالبيانات الشخصية

الالتزام بعدم الكشف عن البيانات الشخصية: عينة 2017 عندما يتعلق الأمر بوضع التزام بعدم الكشف عن البيانات الشخصية للموظفين، ستساعدك العينة على القيام بكل شيء بشكل صحيح وعدم إغفال أي شيء. وعلى الرغم من عدم وجود شكل موحد للوثيقة، إلا أن هناك عدد من الشروط والتفاصيل التي لا يمكن تجنبها، بما في ذلك: معلومات عن صاحب العمل (الاسم، عنوان المنظمة)؛ معلومات عن الموظف (المنصب، تفاصيل جواز السفر)؛ نقطة تؤكد حقيقة التعرف على "اللوائح المتعلقة بحماية البيانات الشخصية" والوثائق المحلية الأخرى ذات الصلة بالقضية؛ الالتزام بعدم الكشف عن البيانات السرية أو نشرها (بما في ذلك بغرض تحقيق الربح)؛ بند ينص على تحذير الموظف من مسؤولية الكشف عن المعلومات المقيدة.

نقوم بإعداد لائحة بشأن البيانات الشخصية للموظفين - عينة 2017

يُسمح بالكشف عن المعلومات المتعلقة بالبيانات الشخصية للموظفين والبيانات الشخصية الواردة في الحالات الإدارية للمنظمات والمواطنين الآخرين بموافقة كتابية من المواطن وطلب موقع من رئيس المنظمة أو المواطن الذي طلب هذه المعلومات. 4.2.1. من الممكن تقديم معلومات حول البيانات الشخصية للمواطن دون موافقته المناسبة في الحالات التالية: أ) من أجل منع تهديد الحياة والصحة؛ ب) عند تلقي الطلبات الرسمية وفقا للأحكام القانون الاتحادي"بشأن أنشطة البحث التشغيلي"؛ ج) عند استلام الطلبات الرسمية من السلطات الضريبية وهيئات صندوق المعاشات التقاعدية في روسيا وهيئات التأمين الاجتماعي الفيدرالية والسلطات القضائية. 4.2.2.

أمر بشأن حماية البيانات الشخصية للموظفين - عينة

تتم معالجة البيانات الشخصية للموظف فقط للأغراض التالية: أ) ضمان الامتثال للقوانين والإجراءات القانونية التنظيمية الأخرى؛ ب) مساعدة الموظفين في العثور على عمل؛ ج) ضمان السلامة الشخصية للعمال؛ د) مراقبة كمية ونوعية العمل المنجز؛ ه) ضمان سلامة ممتلكات الموظف وصاحب العمل. يجب الحصول على كافة البيانات الشخصية للموظف منه، إلا في الحالات التي يمكن الحصول عليها فقط من أطراف ثالثة. لا يمكن الحصول على البيانات الشخصية للموظف من أطراف ثالثة إلا إذا تم إخطار الموظف مسبقًا وبموافقته الخطية.

يجب أن يحتوي الطلب على النقاط التالية:

  • تاريخ ومكان التجميع؛
  • الاسم الكامل للمؤسسة وتفاصيلها؛
  • يبدأ بالعبارة: "الموافقة (اسم الفعل)"؛
  • التاريخ الذي يصبح فيه ساري المفعول؛
  • عبارة عن إلغاء الطلب القديم باعتباره لم يعد صالحا. في الاقتراح، أدخل رقمه وتاريخه؛
  • معلومات عن الشخص المسؤول عن تنفيذ الأمر، على سبيل المثال، يمكنك ترك نفسك: "أحتفظ بالسيطرة على تنفيذ هذا الأمر" أو إسناد المسؤولية لشخص آخر مع عبارة: "الاسم الكامل هو المسؤول عن السيطرة على تنفيذ هذا الأمر" تنفيذ هذا الأمر" أو "الاسم الكامل هو المسؤول عن تنفيذ الأمر."

أمر بشأن الموافقة على اللوائح المتعلقة بالأجور - عينة 2017 ستساعد العينة المقابلة في وضع أمر بشأن الموافقة على اللوائح بشكل صحيح. ومن خلال متابعة العينة المكتملة، سيكون صاحب العمل متأكدًا من أهميتها.

سنخبرك بكيفية وضع لائحة بشأن حماية البيانات الشخصية للموظفين - 2019 (عينة)، تنزيل قالب جاهزوالعمل من خلال جميع الأقسام حتى لا تسبب مطالبات من GIT وRoskomnadzor.

في المقالة:


أثناء عملية التوظيف، وفي كثير من الأحيان حتى قبل ذلك، في مرحلة الاستبيانات والمقابلات الأولية، يزود الموظف صاحب العمل بمعلومات معينة ذات طبيعة شخصية. يتم تصنيف هذه المعلومات على أنها سرية ولا تخضع للكشف عنها لأطراف ثالثة. علاوة على ذلك، لا يمكن طلب جميع أنواع المعلومات - على سبيل المثال، قد يكون السؤال حول الانتماء الديني لمقدم الطلب أو آرائه السياسية غير مناسب في أي مقابلة.

يُسمح لصاحب العمل أن يهتم فقط بجوانب الحياة الشخصية للموظف التي ترتبط ارتباطًا مباشرًا بعمله ويمكن أن تؤثر على جودة عمله. اقرأ المزيد عن هذا في مقال "ما هي المستندات التي يجب طلبها من الموظف عند التقدم لوظيفة". سيخبرك الخبير متى يجوز طلب مستندات إضافية غير منصوص عليها الأحكام العامةالمادة 65 من قانون العمل في الاتحاد الروسي، ما الذي يجب تذكره عند توظيف أجنبي، ولماذا من الممكن طلب رقم التعريف الضريبي لمقدم الطلب (الرقم الضريبي الفردي) للتعرف عليه فقط في حالات نادرة.

ما هي البيانات التي تعتبر شخصية

ويرد تعريف هذا المفهوم في القانون رقم 152-FZ المؤرخ 27 يوليو 2006، المفتاح الوثيقة التنظيمية، والتي تحدد على المستوى الفيدرالي القواعد والمبادئ الأساسية للتعامل مع المعلومات الشخصية. وفقًا للمادة 3 من القانون رقم 152-FZ، شخصييتم أخذ أي بيانات تتعلق بشكل مباشر أو غير مباشر بموضوع معين (فرد) في الاعتبار. يجوز للموضوع تقديم معلومات عن نفسه إلى المشغل - هيئة حكومية أو بلدية، صاحب العمل (كيان قانوني أو فرد).

لا يحق للمشغل معالجة المعلومات المستلمة أو الكشف عنها لأطراف ثالثة دون موافقة الموضوع. يتم ضمان حماية البيانات من خلال تشريعات الاتحاد الروسي: القانون الاتحادي رقم 152-FZ المذكور أعلاه، وبعض مواد قانون العمل والقوانين الجنائية والمدنية للاتحاد الروسي، بالإضافة إلى المواد 5.39 و13.11-13.14 من قانون العمل. الجرائم الإدارية للاتحاد الروسي. تنطبق هذه القواعد على المنظمات بجميع أشكال الملكية.

يجب على كل شركة تقوم بجمع معلومات شخصية عن موظفيها وضع واعتماد لائحة بشأن حماية البيانات الشخصية للموظفين - 2019 (يمكنك تنزيل عينة في قاعدة بياناتنا عبر الإنترنت وثائق الموظفين). هذا هو اسم القانون التنظيمي المحلي الذي يحدد إجراءات التعامل مع البيانات الشخصية في إطار مؤسسة محددةوفقًا لمتطلبات المادة 87 من قانون العمل في الاتحاد الروسي. في القطاع العام الخدمة المدنيةيجري تطوير "اللوائح المتعلقة بالبيانات الشخصية لموظف الخدمة المدنية في الدولة وإدارة ملفه الشخصي"، وفقًا لما يقتضيه مرسوم رئيس الاتحاد الروسي رقم 609 المؤرخ 30 مايو 2005.

الأنواع الرئيسية للمعلومات الشخصية

تقليديًا، يمكن تقسيم الحجم الكامل للبيانات الشخصية حول موضوع معين إلى خمسة أنواع:

  • شائعة؛
  • عام؛
  • مبني للمجهول؛
  • خاص؛
  • بصمات.

تعتبر المعلومات العامة بمثابة بيانات جواز سفر الشخص (الاسم الأخير، الاسم الأول، اسم العائلة، تاريخ الميلاد، الحالة الاجتماعية)، العنوان، رقم الهاتف، معلومات حول التعليم الذي تم تلقيه، وما إلى ذلك. لا يحتوي التشريع الحالي على قائمة شاملة للبيانات العامة، ولكنه يسرد بتفصيل كبير أنواع البيانات الخاصة التي تم وضع قواعد خاصة لجمعها ومعالجتها وتخزينها. وتشمل هذه المعلومات حول:

  • الحالة الصحية
  • الحياة الحميمة؛
  • وجود سجل جنائي؛
  • دِين؛
  • المعتقدات الفلسفية والسياسية.
  • العرق والجنسية.

لا يمكنك طلب بيانات خاصة للمعالجة إلا في حالات محددة بدقة - للأغراض الطبية (مع التقيد الصارم بالسرية الطبية) أو لخدمات التأمين، لإقامة العدل، في إطار مكافحة الإرهاب، لحماية حياة أو صحة الشخص المعني. . تتم معالجة معلومات السجل الجنائي فقط في حالة وجود قانون اتحادي يحدد الحاجة إلى مثل هذه المعالجة. بالإضافة إلى ذلك، لا يُحظر معالجة المعلومات الخاصة إذا كان الشخص نفسه قد أعطى موافقة كتابية على ذلك أو جعلها متاحة للعامة.

انتباه!تعتبر المعلومات العامة هي المعلومات التي ينشرها المالك في المصادر العامة - الصحف والمجلات والعناوين وأدلة الهاتف والشبكات الاجتماعية.

القياسات الحيوية هي معلومات حول الفسيولوجية أو السمات البيولوجيةشخص محدد: الطول، اللياقة البدنية، بصمات الأصابع، نمط القزحية، نتائج الدراسات الجينية وغيرها التي تسمح بتحديد هويته. في بعض الأحيان لا يمكنك الاستغناء عنها. تم وصف حالة نموذجية لاستخدام "القياسات الحيوية" في الملاحظة "هل يمكن لصاحب العمل أخذ بصمات أصابع الموظفين في مؤسسة ما؟" صلاحية التحكم صلاحية الدخول": تتيح لك نتائج أخذ البصمات التعرف على الموظف على الفور، وهو أمر مهم للغاية عند تنفيذ الأحداث ذات الوصول المحدود.

يجب معالجة البيانات البيومترية وتخزينها وفقًا للمرسوم الصادر عن حكومة الاتحاد الروسي رقم 512 بتاريخ 6 يوليو 2008. بمجرد تحقيق غرض المعالجة أو فقدانه، يجب إخفاء هوية البيانات الشخصية البيومترية والخاصة والعامة. من المستحيل تحديد ما إذا كانت المعلومات مجهولة المصدر (على سبيل المثال، النتائج المعالجة للتقارير الإحصائية والمسوحات) تخص شخصًا معينًا.

انتباه!البيانات التي أسباب موضوعيةمن المستحيل تبديد الشخصية، يجب تدميرها.

عند وضع اللوائح المتعلقة بالبيانات الشخصية للموظفين (عينة 2019)، لا تنس تدوين قواعد معالجة أنواع مختلفة من المعلومات، بما في ذلك المعلومات البيومترية، إذا كانت المنظمة تجمعها وتستخدمها في عملها.

ما هي الوظائف التي تؤديها لائحة حماية البيانات الشخصية 2019؟

بطريقة أو بأخرى، يحصل صاحب العمل على معلومات معينة حول الحياة الخاصة للموظف. تعبئة البطاقة الشخصية (الاستمارة الموحدة T-2) تقديم المزايا والتعويضات المتنوعة، التسجيل خصم الضرائب- فيما يلي مجرد قائمة صغيرة من الإجراءات القياسية، والتي يتعين عليك أن تطلب من الموظف معلومات حول حالته الصحية، وتكوين الأسرة، وما إلى ذلك. وبمجرد الانتهاء من المعالجة، فمن الضروري أيضًا النص على حماية البيانات الشخصية (تتم مناقشة نموذج الوثيقة أدناه).

انتباه!تحتاج إلى تلقي معلومات شخصية عن الموظف مباشرة منه، وليس من أطراف ثالثة.

حتى داخل نفس المؤسسة، لا يمكن نقل المعلومات الشخصية إلا وفقًا للوائح المحلية، والتي يجب على جميع الموظفين التعرف عليها أولاً والتوقيع عليها. إن الحاجة إلى مثل هذا التعريف منصوص عليها في البند 8 من المادة 86 من قانون العمل في الاتحاد الروسي. لإعداد مستند بشكل صحيح، قم بتنزيل نموذج اللائحة المتعلقة بالبيانات الشخصية للموظفين 2019: تم تطوير العينة مع مراعاة المتطلبات القانونية الحالية وهي مقسمة إلى ستة أقسام مواضيعية.

اللوائح المتعلقة بالبيانات الشخصية للموظفين: هيكل العينة

يغطي مفهوم معالجة المعلومات ذاته أنواع مختلفةالعمليات المدرجة في البند 3 من المادة 3 من القانون الاتحادي رقم 152-FZ. أولاً، يتم جمع المعلومات وتسجيلها وتنظيمها. بعد ذلك يأتي تراكمها وتخزينها واستخدامها. يمكن توضيح البيانات وتحديثها أو تغييرها واسترجاعها ونقلها (توزيعها). إذا لم تكن هناك حاجة لاستخدام المعلومات الشخصية، فسيتم إخفاء هويتها أو إتلافها. لذلك، تنقسم لائحة العمل مع البيانات الشخصية للموظفين (عينة 2019) إلى أقسام مخصصة لمراحل مختلفة من معالجة المعلومات:

  • الأحكام العامة؛
  • الاستلام والتنظيم؛
  • تخزين؛
  • الاستخدام؛
  • إذاعة؛
  • ضمانات السرية.

وبطبيعة الحال، يمكن تعديل الهيكل المقترح حسب الضرورة - الجمع بين الأقسام الموجودة وإضافة أقسام جديدة، بما في ذلك القوائم والتطبيقات الإضافية. ولكن حتى أبسط شرط قياسي بشأن البيانات الشخصية للموظف (عينة من ستة أقسام) يعد نقطة انطلاق مناسبة يمكنك على أساسها تطوير وثيقة كاملة تتكيف مع ظروف التشغيل لمؤسسة معينة.

بيان بشأن البيانات الشخصية: إجراءات معالجة المعلومات وتخزينها

عند وضع لائحة بشأن البيانات الشخصية في عام 2019، يمكن استخدام العينة كأساس. انتباه خاصيجب الانتباه إلى الأقسام المخصصة لإجراءات جمع المعلومات وتنظيمها وتخزينها. كلما تم توضيح كل نقطة بشكل أكثر تفصيلاً، كلما كانت أفضل وأكثر أمانًا لصاحب العمل. إذا تم إجراء مسح إلزامي للمتقدمين عند التقدم لوظيفة، فقم بوصف الإجراء بأكبر قدر ممكن من الدقة وقم بإدراج أنواع المعلومات المحددة المطلوبة:

يمكنك تنزيل العينة.

يتضمن تخزين أي وسائط تحتوي على معلومات شخصية - ورقية أو إلكترونية أو غيرها - تقييد الوصول إليها. لهذه الأغراض يتم استخدامها غرف منفصلةوالخزائن والخزائن المقفلة والمجلدات الخاصة وقواعد البيانات الإلكترونية المحمية بكلمة مرور. طلب معلومات سرية دون إذن خاصولا تستطيع ذلك إلا دائرة محدودة من المسؤولين.

يجب إدراج كل هذه الفروق الدقيقة في لائحة حماية البيانات الشخصية للموظفين - 2019؛ سيبدو قسم العينة كما يلي:

يمكنك تنزيل العينة.

لكل موظف الحق القانوني في معرفة بالضبط كيف وإلى أي مدى تتم معالجة بياناته الشخصية واستخدامها، وكذلك تصحيح أو استبعاد المعلومات غير الصحيحة أو غير الكاملة أو المعالجة بشكل غير صحيح عن نفسه.

لوائح العمل مع البيانات الشخصية للموظفين 2019: نموذج تصميم للقسم الخاص بنقل المعلومات

يُسمح لصاحب العمل بنقل المعلومات الشخصية إلى أطراف ثالثة، ولكن فقط في ظل ظروف معينة - على سبيل المثال، من أجل منع تهديد حياة الموظف وصحته أو في الحالات المنصوص عليها في القوانين الفيدرالية. في هذه الحالة، لا تصبح البيانات متاحة للعامة، ولكن يتم نقلها بشكل سري إلى شخص مرخص له بذلك.

في جميع الحالات الأخرى، تنطبق القاعدة المنصوص عليها في المادة 7 من القانون رقم 152-FZ وتتطلب في كل مرة تنشأ مثل هذه الحاجة طلب موافقة الشخص المعني على نقل بياناته الشخصية. وفي هذه الحالة، يتم نقل البيانات بكمية محدودة ضرورية لأداء وظيفة معينة وليس أكثر.

تأكد من إضافة قسم حول قواعد نقل المعلومات السرية إلى لائحة البيانات الشخصية للموظفين 2019 (عينة): يمكنك تنزيل المستند النهائي . مثال لتصميم القسم يبدو كما يلي:

يمكنك تنزيل العينة.

يجب على صاحب العمل الاحتفاظ بسجلات للإفراج عن أي معلومات شخصية تتعلق بموظفي المؤسسة. ولهذا الغرض، يتم إنشاء مجلة (كتاب) أو مستند إلكتروني خاص. ومن الناحية المثالية، ينبغي نسخ السجلات وحفظها على الوسائط الإلكترونية والورقية. اقرأ عن تعقيدات إدارة المستندات الإلكترونية في الملاحظات "كيفية النقل إلى الأرشيف "،" هل يمكن للمنظمة أن تقود في شكل إلكتروني دون طباعة" و"كيف سيتحولون إلى < ».

كيفية الموافقة على لائحة البيانات الشخصية للموظفين 2019: طلب عينة

هناك طريقتان للموافقة على اللائحة المتعلقة بحماية البيانات الشخصية للموظفين (عينة 2019): إصدار أمر منفصل أو ببساطة توفير حقل خاص لتفاصيل الشهادة في شكل المستند الرئيسي. أصحاب العمل الذين لا يرغبون في مضاعفة كمية الأوراق عادة ما يفضلون الطريقة الثانية ويضيفون الحقول الضرورية إلى الرأس:

يمكنك تنزيل العينة.

عند الموافقة على الوثيقة، يضع رئيس المنظمة توقيعه الشخصي وختمها عليها. إذا تم اختيار طريقة الموافقة الأولى التي تتطلب عمالة أكثر كثافة، فسيتم إعداد وثيقة إدارية مقابلة. لقد تم إعداده بطريقة عامة، وفي الواقع، لا يختلف عن الأوامر القياسية التي توافق على اللوائح الداخلية للشركة. نوصي بقراءة مقالة ورقة الغش "كيفية القبول ": سوف تتعلم كيفية التشكيل فريق العملوتعيين المسؤولين المسؤولين، وتحديد المواعيد النهائية للتطوير، وإعداد مسودة وثيقة والاتفاق معها على النقابة.

إذا قام صاحب العمل مسبقًا بتطبيق نسخة مختلفة من اللائحة، عند وضع النسخة الجديدة حيز التنفيذ، يتم استخدام أمر الموافقة على PVTR المحدث أو أي قانون محلي آخر كنموذج:

انتباه!إذا كان لدى المنظمة قسم قانوني أو مستشار قانوني داخلي، فمن المستحسن الاتفاق معه على لائحة حماية البيانات الشخصية للموظفين - 2019 (يمكن تنزيل عينة على موقعنا مجلة إلكترونية) قبل إرسال الوثيقة للموافقة النهائية على رئيس المؤسسة.

إشعار حول معالجة البيانات الشخصية

بالإضافة إلى عدد من التدابير الأساسية لحماية البيانات الشخصية للموظفين، ينص القانون على التزام آخر للمشغل - إخطار Roskomnadzor بالمعالجة القادمة للبيانات الشخصية. هذه القاعدة موجودة في التشريع الروسي منذ عام 2007. تمت الموافقة على نموذج الإخطار المستخدم حاليًا في عام 2008. لمساعدة ضابط شؤون الموظفين - مقال مفيد "كيفية إخطار وكالة المراقبة بالبدء ».

دعونا نلاحظ على الفور أن شرط الإخطار لا ينطبق على جميع أصحاب العمل. وفقًا للمادة 22 من القانون رقم 152-FZ، المنظمات التي:

معالجة المعلومات المستلمة وفقًا لتشريعات العمل ؛

تلقي المعلومات المتعلقة بإبرام العقد واستخدامها حصريًا في إطار تنفيذ الاتفاقيات؛

تلقي البيانات المعترف بها على أنها متاحة للجمهور أو تتضمن فقط الأسماء الأخيرة والأسماء الأولى وأسماء الأبوين للموضوعات؛

طلب المعلومات مرة واحدة للسماح للموضوع بدخول منطقة المشغل؛

هي معلومات دينية أو اجتماعية ومعالجة المعلومات بسرية لتحقيق أغراض مشروعة.

من أجل عدم إخطار Roskomnadzor في كل مرة بشأن معالجة البيانات، يمكن لصاحب العمل الذي يستخدم المعلومات المتعلقة بالموظفين حصريًا في إطار تشريعات العمل تحديد الحالة المقابلة في المستندات الداخلية. اذكر في اللوائح والقوانين المحلية الأخرى الاتجاهات الرئيسية لأنشطة الشركة والأغراض التي تقوم من أجلها بجمع ومعالجة المعلومات الشخصية عن الموظفين.

المسؤولية عن انتهاك قواعد معالجة المعلومات الشخصية

في حالة انتهاك التشريعات المتعلقة بحماية المعلومات الشخصية، يمكن تقديم الشخص المذنب ليس فقط إلى المسؤولية التأديبية، ولكن أيضًا إلى المسؤولية الإدارية، وفي بعض الحالات، المسؤولية الجنائية. يتم اختيار مقياس المسؤولية مع الأخذ في الاعتبار نوع الجريمة وخطورتها وظروفها. التفاصيل في المقال " . ما هو مهم للتحقق."

يجب أن نتذكر أن الوصول غير المصرح به إلى المعلومات الإلكترونية التي يحميها القانون وانتهاك الخصوصية يعتبران انتهاكات خطيرة. ويشمل ذلك أيضًا التخزين غير السليم للبيانات الشخصية، وكذلك غير المقصود، المرتكب دون نية خبيثة، والكشف عن المعلومات السرية، التي تم الوصول إليها أثناء تنفيذ مسؤوليات العمل. يجوز للطرف المتضرر أن يطالب، من خلال المحكمة، بالتعويض عن الأضرار المادية والمعنوية الناجمة عن تصرفات الموظف غير المشروعة.

يتزايد باستمرار حجم الغرامات التي يدفعها أصحاب العمل لعدم الامتثال لقواعد معالجة البيانات الشخصية للموظفين ويصل حاليًا إلى عشرات الآلاف من الروبلات. لذلك، إذا لم تطبق المنظمة أو لم يكن لديها بند بشأن حماية البيانات الشخصية للموظفين، فمن الواضح أن نموذج الوثيقة التي تم إعدادها مع مراعاة جميع متطلبات القانون لن تكون زائدة عن الحاجة.

وتعرفها بأنها أي معلومات تتعلق بشكل مباشر أو غير مباشر بالموضوع أو تسمح بالتعرف عليه (البند 1 من المادة 3). وفي الوقت نفسه، لا يحتوي القانون التشريعي على شرح لما تتضمنه المعلومات المتعلقة بالفرد هذا المفهوم. في سياق علاقات العمل، تشمل هذه عادةً ما يلي:

  • تاريخ الميلاد؛
  • تفاصيل جواز السفر؛
  • عنوان التسجيل والإقامة؛
  • رقم سنيلس؛
  • معلومات عن التعليم والخبرة العملية.

هذه مجرد قائمة بسيطة من المعلومات عنك التي يقدمها الشخص عند التقدم لوظيفة. في عملية التعاون يضاف إليها ما يلي: شروط عقد العمل والاتفاقيات الإضافية، معلومات حول التسجيل العسكري، المزايا الاجتماعية، معلومات حول العقوبات التأديبيةوالحوافز والتقارير للسلطات الإحصائية وغيرها. تشكل مجموعة المعلومات الواردة الملف الشخصي للموظف.

لماذا تحتاج إلى لائحة بشأن العمل مع البيانات الشخصية؟

من خلال توظيف شخص ما، تتولى الشركة وظائف مشغل معالجة البيانات. وبعبارة أخرى، يقوم صاحب العمل بجمع وتخزين وتنظيم وتجميع وتحديث المعلومات المتعلقة بالموظفين. يتم العمل مع البيانات الشخصية باستخدام أدوات الأتمتة وبدون استخدامها. تتم معالجة المعلومات السرية ليس فقط خلال فترة التعاون، ولكن أيضًا بعد اكتمالها، في مرحلة الأرشفة. فن. 22.1 يُلزم المنظمات بالاحتفاظ بالملفات الشخصية للموظفين لمدة 75 عامًا. في جميع مراحل معالجة المعلومات الشخصية، يلتزم صاحب العمل بمنع نقلها إلى أطراف ثالثة في حالة عدم وجود أسباب قانونية. يجب توثيق مجموعة من التدابير المناسبة كلائحة بشأن التعامل مع البيانات الشخصية للموظفين.

هيكل لوائح البيانات الشخصية

عند إعداد لائحة حماية البيانات الشخصية لعام 2019، يوصى بالالتزام بالهيكل التالي:

الفصل محتوى
1 الأحكام الأساسية أغراض الوثيقة والقوانين وإجراءات الموافقة
2 مفاهيم أساسية تعريفات المفاهيم المستخدمة في الوثيقة
3 تكوين البيانات الشخصية للموظفين قائمة المعلومات الشخصية
4 معالجة البيانات شروط معالجة المعلومات
5 مجموعة من الوثائق قائمة الوثائق التي تحتوي على معلومات شخصية
6 الوصول إلى البيانات الشخصية إجراءات الوصول الخارجي والداخلي إلى المعلومات
7 حماية المعلومات الشخصية مجموعة من التدابير لضمان أمن المعلومات السرية
8 حقوق وواجبات الموظف حقوق الموظفين فيما يتعلق بمعالجة البيانات، والالتزام بالإخطار الفوري بالتغييرات التي يقومون بها
9 مسؤولية الكشف عن المعلومات شرح المسؤولية عن انتهاك أمن المعلومات وفقا للقانون

كيفية تنفيذ لائحة معالجة وحماية البيانات الشخصية 2019

في مرحلة تطوير الوثيقة، ينبغي الاتفاق على محتواها مع رؤساء الأقسام المشاركة في معالجة البيانات والخدمة القانونية. تمت الموافقة على القانون التنظيمي المحلي النهائي. يتم إصدار أمر أيضًا في حالة إجراء تغييرات على نص المستند. إذا لم يكن هناك لأي سبب من الأسباب حكم بشأن حماية البيانات الشخصية في المؤسسة، فمن الضروري إعداده على الفور وجعل محتواه معروفًا لجميع الموظفين. يجب على الموظفين المعينين قراءة البند قبل التوقيع على عقد العمل. يتم إصدار تأكيد الإلمام بالنص وفقًا لتقدير صاحب العمل. معظم طريقة ملائمة- الاحتفاظ بسجل للتعرف على اللوائح المحلية. إذا لزم الأمر، يمكن للموظف أن يطلب نص الوثيقة عدة مرات حسب الضرورة. لتبسيط هذا الإجراء، يوصى بنشر نموذج لائحة بشأن معالجة البيانات الشخصية للموظف في موارد الوصول الإلكتروني للشركة.

اعتبارًا من 1 يوليو 2017، سيتم تغيير المادة. 13.11 قانون الجرائم الإدارية للاتحاد الروسي بشأن المسؤولية الإدارية عن انتهاك التشريعات المتعلقة بالبيانات الشخصية للأفراد. وبما أن التعديلات تؤثر على كل من يستخدم البيانات الشخصية، فسوف نتناول هذه الابتكارات في مقالتنا.

معالجة البيانات الشخصية – 2017

البيانات الشخصية هي أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد معين (الاسم، عنوان السكن، تاريخ الميلاد، تفاصيل جواز السفر، رقم الهاتف، الصورة، العنوان) بريد إلكتروني، إلخ.). يُطلق على المنظمة أو الوكالة الحكومية أو الفرد الذي يجمع البيانات الشخصية ويعالجها اسم المشغل (قانون البيانات الشخصية بتاريخ 27 يوليو 2006 رقم 152-FZ). ويشمل ذلك أصحاب العمل، وكذلك كل من يتلقى البيانات الشخصية من المواطنين - المؤسسات الطبية، المؤسسات التعليمية، المتاجر عبر الإنترنت، الخ.

بالنسبة لصاحب العمل، هذه البيانات ضرورية فيما يتعلق بعلاقات العمل. ولا يمكن استلامها إلا شخصيًا من الموظف نفسه ومن أطراف ثالثة - بموافقة كتابية منه. يمنح الفرد موافقة كتابية على معالجة البيانات الشخصية. النموذج غير معتمد بموجب القانون، يمكنك إعداده بنفسك، مع مراعاة متطلبات الفقرة 4 من الفن. 9 من القانون رقم 152-FZ (البند 3، الجزء 1، المادة 86 من قانون العمل في الاتحاد الروسي، البند 1، المادة 9 من القانون 152-FZ).

الموافقة على معالجة البيانات الشخصية (عينة)

من غير المقبول جمع ومعالجة البيانات الشخصية لموظف لا علاقة له به نشاط العمل، على سبيل المثال، حول المشاركة في الجمعيات العامةوالدين والحياة الشخصية وما إلى ذلك. وينطبق الشيء نفسه على المشغلين الآخرين الذين يطلبون بيانات لا تتعلق بغرض معالجتها (على سبيل المثال، الإشارة إلى بيانات جواز السفر في استبيان حول تقييم أداء الموقع). لا ينبغي الكشف عن البيانات المستلمة لأطراف ثالثة أو توزيعها دون موافقة الفرد (المادة 7 من القانون رقم 152-FZ).

يلتزم المشغل بتوفير الحماية الكافية للبيانات، ومن أجل ذلك يحدد إجراءات استلامها ومعالجتها وتخزينها في لوائح البيانات الشخصية أو اللوائح الداخلية الأخرى. تحدد الوثيقة التدابير اللازمة وتعين أيضًا شخصًا مسؤولاً عن المعالجة. يجب السماح بالوصول إلى هذه البيانات فقط للأشخاص المصرح لهم، ولهم الحق في تلقي المعلومات اللازمة فقط لأداء وظائف محددة (المادة 88 من قانون العمل في الاتحاد الروسي، المادة 18.1 من القانون رقم 152-FZ).

إن اللوائح المتعلقة بالبيانات الشخصية أو وثيقة أخرى بشأن سياسة معالجتها موجودة في المجال العام ويتم تقديمها بناءً على طلب الهيئات المعتمدة - وهذا ينطبق على كل من أصحاب العمل والمشغلين الآخرين (الجزءان 2 و4 من المادة 18.1 من القانون رقم 152) -FZ).

البيانات الشخصية – 2017: الجديد في المسؤولية الإدارية

اعتمد القانون رقم 13-FZ بتاريخ 02/07/2017 نسخة جديدة من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي. إذا كانت المقالة تحتوي في السابق على عنصر واحد - انتهاك القانون الاتحادي بشأن البيانات الشخصية، فهي الآن قائمة كاملة من سبعة أسباب للمسؤولية الإدارية، وبالتالي غرامات مختلفة. ومن المرجح أنه إذا تم اكتشاف عدة مخالفات من قبل مشغل واحد، فإنه سيواجه عدة غرامات، وليس واحدة فقط.

أيضًا، خضعت المادتان 28.3 و28.4 من قانون الجرائم الإدارية للاتحاد الروسي لتغييرات، مما أدى إلى تبسيط عملية تقديم المشغلين إلى العدالة: اعتبارًا من 01/07/2017، تم وضع بروتوكولات بشأن انتهاكات القانون 152-FZ بشأن البيانات الشخصية من قبل موظفي Roskomnadzor، وليس من قبل المدعي العام، كما كان من قبل. ظلت فترة تقديمهم إلى العدالة كما هي - 3 أشهر.

ما هي الغرامة في الوقت الراهن؟

لذا، إليك الأسباب التي يمكن بموجبها الآن تحميل رواد الأعمال والمنظمات التي تعالج البيانات الشخصية المسؤولية الإدارية:

  • تتم معالجة البيانات في الحالات التي لا ينص عليها القانون الاتحادي بشأن البيانات الشخصية أو عندما تكون معالجتها غير متوافقة مع أغراض التجميع (الجزء 1 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي). الاستخدام غير القانوني للبيانات الشخصية، إذا لم يستلزم مسؤولية جنائية، يخضع لتحذير أو غرامة: للأفراد بمبلغ 1000-3000 روبل، للمسؤولين - 5000-10000 روبل، للمؤسسات - 30000-50000 روبل.
  • معالجة البيانات دون الحصول على موافقة كتابية يقتضيها القانون (البند 2 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي).يجب أن تحتوي الموافقة على المعالجة على المعلومات المحددة في الجزء 4 من الفن. 9 من القانون 152-FZ بشأن البيانات الشخصية. تنص تغييرات عام 2017 على غرامة غيابها اعتبارًا من 1 يوليو بالمبلغ التالي: لمخالفي الأفراد - 3000-5000 روبل، للمسؤولين - 10000-20000 روبل، للمؤسسات - 15000-75000 روبل.
  • عدم الوصول غير المحدود إلى سياسة المشغل في مجال معالجة البيانات الشخصية (البند 3 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي).تم تحديد الالتزام بتوفير الوصول في البند 2 من الفن. 18.1 من القانون 152-FZ بشأن البيانات الشخصية. إن عدم القدرة على التعرف على مثل هذا المستند على الورق أو على موقع الويب، إذا تم جمع البيانات عبر الإنترنت، سيكلف المشغلين: 700-1500 روبل. - الأفراد 3000-6000 روبل. – المسؤولين 5000-10000 روبل. - رجل أعمال فردي، 15.000-30.000 روبل. - المنظمات، وفي أفضل الأحوال، سيتم كل شيء بتحذير.
  • الفشل في تزويد الشخص بالمعلومات المتعلقة بمعالجة بياناته الشخصية (البند 4 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي).إجراءات طلب هذه المعلومات منصوص عليها في المادة 14 من القانون 152-FZ. التغييرات اعتبارًا من 01/07/2017 هي كما يلي: المخالفة تخضع لتحذير أو غرامة قدرها 1000-2000 روبل. – الأفراد 4000-6000 روبل. - المسؤولون 10000-15000 روبل. - رجل أعمال فردي، 20.000-40.000 فرك. - المنظمات.
  • عدم الامتثال خلال الإطار الزمني المحدد لمتطلبات حظر أو تغيير أو تدمير البيانات الشخصية (البند 5 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي). يجوز للفرد أو ممثله تقديم مثل هذه المطالب إذا كانت البيانات غير كاملة أو غير دقيقة أو تم الحصول عليها بشكل ينتهك القانون أو قديمة، وهذا ما تنص عليه المادة 21 من قانون البيانات الشخصية رقم 152-FZ. سيحصل المخالفون على تحذير أو غرامة: 1000-2000 روبل. للأفراد 4000-10000 روبل. المسؤولين 10000-20000 روبل. – رجل أعمال فردي 25000-45000 روبل. المنظمات.
  • عدم الامتثال للشروط التي تضمن سلامة البيانات الشخصية أثناء المعالجة غير الآلية (البند 6، المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي).وينطبق هذا على البيانات "الورقية"، والتي أدى الوصول إليها بشكل غير مصرح به إلى تدميرها أو إتلافها أو توزيعها بشكل غير قانوني، وما إلى ذلك. يستلزم الفشل في ضمان حماية البيانات الشخصية في عام 2017 غرامة قدرها 700-2000 روبل. للمواطنين 4000-10000 روبل. للمسؤولين 10000-20000 روبل. لأصحاب المشاريع الفردية و 25000-50000 روبل. للمنظمات.

هذه هي التغييرات في حماية البيانات الشخصية في عام 2017، اعتبارًا من 1 يوليو. وكما نرى، أصبحت المخالفات أكثر تحديدًا، وأصبحت الغرامات المفروضة على المشغلين أكثر صرامة بشكل ملحوظ.

اعتبارًا من 1 يوليو 2017، تم تشديد المسؤولية عن الانتهاكات عند التفاعل مع البيانات الشخصية للأفراد بشكل كبير. ويأتي ذلك بناءً على أحكام القانون الاتحادي بتاريخ 02/07/2017 رقم 13-FZ). ستؤثر التغييرات على جميع أصحاب العمل دون استثناء الذين يشاركون في معالجة البيانات الشخصية للموظفين والمقاولين الأفراد. علاوة على ذلك، يمكننا القول أن التعديلات تنطبق تقريبًا على مجتمع الأعمال بأكمله الذي يتفاعل مع البيانات الشخصية للأفراد (على سبيل المثال، أصحاب المواقع التي تجمع البيانات الشخصية للزوار). كيف تستعد للتغييرات؟ هل ستزيد الغرامات؟ من سيكتشف الانتهاكات في معالجة البيانات الشخصية؟ دعونا معرفة ذلك.

البيانات الشخصية: معلومات خاصة

البيانات الشخصية للموظفين هي أي معلومات ضرورية لصاحب العمل فيما يتعلق بعلاقات العمل والمتعلقة بموظف معين (البند 1، المادة 3 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية").

بالنسبة لصاحب العمل (منظمة أو رجل أعمال فردي)، غالبًا ما يتم تلخيص البيانات الشخصية للموظفين في بطاقاتهم الشخصية وملفاتهم الشخصية. وفي الوقت نفسه، يعرف كل مدير موارد بشرية أو متخصص في الموارد البشرية تقريبًا أنه لا يمكن الحصول على البيانات الشخصية إلا من الموظفين شخصيًا. إذا كان من الممكن الحصول على المعلومات الشخصية فقط من أطراف ثالثة، فحينئذٍ التشريع الروسييُلزم بإخطار الموظف بذلك والحصول على موافقة كتابية منه (البند 3 من الجزء 1 من المادة 86 قانون العملالترددات اللاسلكية).

لا يحق لأصحاب العمل تلقي ومعالجة البيانات الشخصية التي لا تتعلق بشكل مباشر بنشاط عمل الشخص. أي أنه من المستحيل جمع معلومات، على سبيل المثال، عن دين الموظفين. بعد كل شيء، تشكل هذه المعلومات سرًا شخصيًا أو عائليًا ولا يمكن ربطها بأي شكل من الأشكال بأداء واجبات العمل (البند 4 من الجزء 1 من المادة 86 من قانون العمل في الاتحاد الروسي).

بعد تلقي البيانات الشخصية، يلتزم صاحب العمل، بموجب المتطلبات القانونية، بعدم توزيعها أو الكشف عنها لأطراف ثالثة دون موافقة الموظف (المادة 7 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ).

يمكن فهم البيانات الشخصية على أنها أي معلومات تتعلق بشكل مباشر أو غير مباشر بفرد معين (موضوع البيانات الشخصية) - الفقرة 1 من المادة 3 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ. من أمثلة هذه المعلومات الاسم الأخير والاسم الأول والعائلي وتاريخ ومكان الميلاد ومكان الإقامة وما إلى ذلك.

كيف يلتزم صاحب العمل بحماية البيانات الشخصية

من أجل حماية البيانات الشخصية والحد من الوصول إليها، يجب على صاحب العمل ضمان جودة عالية و النظام الحديثحمايتهم. كيف بالضبط للقيام بذلك؟ كل صاحب عمل يقرر هذه المسألة بشكل مستقل. وفي الوقت نفسه، يجب النص على إجراءات تلقي البيانات الشخصية ومعالجتها ونقلها وتخزينها الفعل المحليالمنظمات، على سبيل المثال، في اللوائح المتعلقة بمعالجة البيانات الشخصية للموظفين (المادة 8، 87 من قانون العمل في الاتحاد الروسي، البند 2، الجزء 1، المادة 18.1 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152 -FZ).

أيضًا، يجب على صاحب العمل تعيين موظف رسميًا مسؤولاً عن العمل مع البيانات الشخصية (الجزء 5 من المادة 88 من قانون العمل في الاتحاد الروسي). يمكن أن يكون هذا، على سبيل المثال، موظفًا في قسم الموارد البشرية يتفاعل مع الملفات الشخصية، ويحصل على موافقة الموظف على المعالجة، ويحتفظ ببطاقات الموظفين، وما إلى ذلك.

يتم إجراء عمليات تفتيش صاحب العمل فيما يتعلق بمعالجة البيانات الشخصية من قبل أقسام Roskomnadzor. أمر وزارة الاتصالات والإعلام في روسيا بتاريخ 14 نوفمبر 2011 رقم 312 وافق على اللوائح الإدارية لتنفيذ Roskomnadzor لوظائف تنفيذ سيطرة الدولة(إشراف).

ما هي المسؤوليات التي تنطبق على أصحاب العمل

في حالة انتهاك إجراءات تلقي ومعالجة وتخزين وحماية البيانات الشخصية للموظفين، يتم توفير المسؤولية التأديبية والمادية والإدارية والجنائية (المادة 90 من قانون العمل في الاتحاد الروسي، الجزء 1، المادة 24 من القانون الاتحادي). 27 يوليو 2006 رقم 152-FZ). دعونا نلقي نظرة على كل نوع من هذه الأنواع من المسؤولية.

المسؤولية التأديبية

الموظفون الذين، بسبب علاقات العمل، ملزمون بالامتثال لقواعد العمل مع البيانات الشخصية، ولكنهم انتهكوها (المادة 192 من قانون العمل في الاتحاد الروسي) يمكن مساءلتهم عن الانتهاكات عند العمل مع البيانات الشخصية. أي أنك تستطيع أن تحاسب مثلا مدير الموارد البشرية المكلف به الأعمال ذات الصلة. خلف جريمة تأديبيةجمع البيانات الشخصية ومعالجتها وتخزينها، يمكن لصاحب العمل معاقبة موظفه بتطبيق إحدى العقوبات التالية عليه (الجزء 1 من المادة 192 من قانون العمل في الاتحاد الروسي):

  • تعليق؛
  • توبيخ؛
  • الفصل.

المسؤولية المادية

قد تنشأ المسؤولية المالية للموظف في حالة حدوث ضرر فعلي مباشر فيما يتعلق بانتهاك قواعد العمل مع البيانات الشخصية للمنظمة (المادة 238 من قانون العمل في الاتحاد الروسي). لنفترض أن الموظف المسؤول في قسم الموارد البشرية ارتكب انتهاكًا جسيمًا - حيث قام بتوزيع البيانات الشخصية للموظفين على الإنترنت. وبعد أن علم العمال بذلك، رفعوا دعوى قضائية ضد صاحب العمل، قضت بما يلي: "دفع تعويض نقدي للعمال المصابين - 50 ألف روبل لكل منهم". في مثل هذه الحالة، يكون لدى صاحب العمل الفرصة لفرض عقوبة محدودة على موظف الموارد البشرية المذنب. المسؤولية الماليةفي حدود متوسط ​​دخله الشهري (المادة 241 من قانون العمل في الاتحاد الروسي). يمكن استرداد الأضرار الناجمة بأمر من المدير في موعد لا يتجاوز شهر واحد من تاريخ التحديد النهائي لمبلغ الضرر الذي تسبب فيه الموظف. إذا انقضت فترة الشهر، فيجب استرداد الأضرار من خلال المحكمة. هذا الإجراء منصوص عليه في المادة 248 من قانون العمل في الاتحاد الروسي.

مع المسؤولية المالية الكاملة، سيتعين على الموظف تعويض المنظمة بالكامل عن كامل مبلغ الأضرار المتكبدة فيما يتعلق بالانتهاكات في مجال البيانات الشخصية (المادتان 242 و 243 من قانون العمل في الاتحاد الروسي). ومع ذلك، كقاعدة عامة، لا يتم منح الموظفين المسؤولين عن معالجة البيانات الشخصية المسؤولية المالية الكاملة.

المسؤولية التأديبية والمالية لصاحب العمل (على سبيل المثال، منظمة تجارية) ينطبق فقط وفقا لتقديرها الخاص. لا تشارك السلطات التنظيمية للدولة (بما في ذلك Roskomnadzor) في هذه العملية.

المسؤولية الإدارية

في حالة انتهاك إجراءات جمع أو تخزين أو استخدام أو توزيع البيانات الشخصية لصاحب العمل والمسؤولين، يجوز للسلطات التنظيمية فرض مسؤولية إدارية في شكل غرامات، والتي قد تصل إلى:

  • للمسؤولين (على سبيل المثال، المدير العام، كبير المحاسبين، ضابط شؤون الموظفين أو رجل أعمال فردي): من 500 إلى 1000 روبل؛
  • لمنظمة: من 5000 إلى 10000 روبل.

تتراوح الغرامة المنفصلة (المستقلة) للمسؤولين عن الكشف عن البيانات الشخصية فيما يتعلق بأداء الواجبات الرسمية أو المهنية من 4000 إلى 5000 روبل. هذه العقوبات موصوفة في المادتين 13.11 و 13.14 من قانون الاتحاد الروسي بشأن الجرائم الإدارية.

المسؤولية الجنائية

قد تنشأ المسؤولية الجنائية للمدير أو كبير المحاسبين أو رئيس قسم الموارد البشرية بالشركة أو أي شخص آخر مسؤول عن التعامل مع البيانات الشخصية عن الإجراءات غير القانونية:

  • جمع أو نشر معلومات حول الحياة الخاصة للموظف، والتي تشكل سرًا شخصيًا أو عائليًا، دون موافقته؛
  • توزيع المعلومات عن الموظف في التحدث أمام الجمهور، العمل أو الوسائط المعروضة علنًا.

بالنسبة لمثل هذه الانتهاكات المتعلقة بمعالجة البيانات الشخصية، يُسمح بالعقوبات الجنائية التالية:

  • غرامة تصل إلى 200000 روبل (أو بمبلغ دخل الشخص المدان لمدة تصل إلى 18 شهرًا) ؛
  • العمل الإلزامي لمدة تصل إلى 360 ساعة؛
  • العمل الإصلاحي لمدة تصل إلى سنة واحدة؛
  • العمل القسري لمدة تصل إلى سنتين مع أو بدون الحرمان من الحق في شغل مناصب معينة أو الانخراط في أنشطة معينة لمدة تصل إلى ثلاث سنوات؛
  • الاعتقال لمدة تصل إلى أربعة أشهر؛
  • السجن لمدة تصل إلى عامين مع الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تصل إلى ثلاث سنوات.

تُعاقب بشدة نفس الأفعال التي يرتكبها شخص يستخدم منصبه الرسمي:

  • غرامة من 100000 إلى 300000 روبل. (أو بمقدار دخل المحكوم عليه لمدة سنة إلى سنتين)؛
  • الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تتراوح بين سنتين وخمس سنوات؛
  • العمل القسري لمدة تصل إلى أربع سنوات مع أو بدون الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تصل إلى خمس سنوات؛
  • الاعتقال لمدة تتراوح بين أربعة وستة أشهر؛
  • السجن لمدة تصل إلى أربع سنوات مع الحرمان من الحق في شغل مناصب معينة أو المشاركة في أنشطة معينة لمدة تصل إلى خمس سنوات (المادة 137 من القانون الجنائي للاتحاد الروسي).

ما الذي سيتغير اعتبارًا من 1 يوليو 2017؟

القانون الاتحادي رقم 07.02. 2017 رقم 13-FZ وسع قائمة أسباب جلب صاحب العمل إلى المسؤولية الإدارية في مجال حماية البيانات الشخصية، كما زاد أيضًا مقدار الغرامات الإدارية. يدخل هذا القانون حيز التنفيذ في 1 يوليو 2017. دعنا نقول على الفور أنه تم تشديد المسؤولية الإدارية في مجال البيانات الشخصية بشكل كبير. في الوقت نفسه، ما يلي مهم: بدلا من النوع الوحيد من المسؤولية الإدارية الموصوفة في المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي، سيظهر سبعة. وبالتالي، يمكن تطبيق غرامات مختلفة على الانتهاكات المختلفة من قبل أصحاب العمل في مجال البيانات الشخصية. إذا تم اكتشاف عدة مخالفات لمخالفات مختلفة، فقد يزيد عدد الغرامات وفقًا لذلك. دعونا نشرح الجرائم الجديدة بمزيد من التفصيل.

الانتهاك 1: معالجة البيانات الشخصية لأغراض "أخرى".

اعتبارًا من 1 يوليو 2017، معالجة البيانات الشخصية في الحالات التي لا ينص عليها القانون، أو معالجة البيانات الشخصية التي تتعارض مع أغراض جمع البيانات الشخصية – الأنواع المستقلةانتهاك إداري (الجزء 1 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي). دعونا نعطي مثالا: تقوم منظمة التوظيف بجمع البيانات الشخصية للموظفين ونقل هذه البيانات إلى شركات خارجية لأغراض الإعلان (يتم نقل الاسم الكامل وأرقام الهواتف ومناطق الإقامة ومستوى الدخل). ثم تبدأ شركات الإعلان في إرسال العديد من الرسائل غير المرغوب فيها والعروض الإعلانية للموظفين عبر الهاتف والبريد الإلكتروني وعناوين المنزل. إذا كانت تصرفات صاحب العمل هذه لا تكشف عن جريمة جنائية، فيمكن تطبيق المسؤولية الإدارية. اعتبارًا من 1 يوليو 2017، قد تكون العقوبات الإدارية كما يلي:

  • أو تحذير؛
  • أو الغرامات.

الانتهاك 2: معالجة البيانات الشخصية دون موافقة

معالجة البيانات الشخصية من قبل صاحب العمل، وفقا ل قاعدة عامةلا يمكن ذلك إلا بموافقة كتابية من الموظفين. يجب أن تتضمن هذه الموافقة المعلومات التالية (الجزء 4 من المادة 9 من قانون 27 يوليو 2006 رقم 152-FZ):

  • الاسم الكامل، عنوان الموظف، تفاصيل جواز السفر (وثيقة أخرى تثبت هويته)، بما في ذلك معلومات حول تاريخ إصدار الوثيقة والجهة المصدرة لها؛
  • الاسم أو الاسم الكامل وعنوان صاحب العمل (المشغل) الذي يتلقى موافقة الموظف؛
  • الغرض من معالجة البيانات الشخصية؛
  • قائمة البيانات الشخصية التي يتم منح الموافقة على معالجتها؛
  • الاسم أو الاسم الكامل وعنوان الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن صاحب العمل، إذا كانت المعالجة ستُعهد إلى هذا الشخص؛
  • قائمة الإجراءات ذات البيانات الشخصية التي تم منح الموافقة عليها، وصف عامالأساليب التي يستخدمها صاحب العمل لمعالجة البيانات الشخصية؛
  • الفترة التي تكون فيها موافقة الموظف سارية، وكذلك طريقة سحبها، ما لم ينص القانون الاتحادي على خلاف ذلك؛
  • توقيع الموظف.

اعتبارًا من 1 يوليو 2017، تعد معالجة البيانات الشخصية دون موافقة كتابية من الموظف، أو إذا كانت الموافقة الكتابية لا تحتوي على المعلومات المذكورة أعلاه، بمثابة انتهاك إداري مستقل منصوص عليه في الجزء 2 من المادة 13.11 من قانون الجرائم الإدارية الاتحاد الروسي. العقوبات ممكنة على هذا:

الانتهاك الثالث: الوصول إلى سياسة معالجة البيانات الشخصية

يلتزم مشغل البيانات الشخصية (على سبيل المثال، صاحب العمل أو موقع الويب) بنشر أو توفير وصول غير مقيد إلى المستند الذي يحدد سياسته فيما يتعلق بمعالجة البيانات الشخصية، وإلى معلومات حول المتطلبات المنفذة لحماية البيانات الشخصية. يلتزم المشغل الذي يجمع البيانات الشخصية على الإنترنت (على سبيل المثال، من خلال موقع ويب) بنشر وثيقة على الإنترنت تحدد سياسته فيما يتعلق بمعالجة البيانات الشخصية والمعلومات حول المتطلبات المنفذة لحماية البيانات الشخصية، وكذلك توفير القدرة على الوصول إلى الوثيقة المحددة. هذا منصوص عليه في الفقرة 2 من المادة 18.1 من قانون 27 يوليو 2006 رقم 152-FZ.

يواجه العديد من مستخدمي الإنترنت الوفاء بهذا الالتزام في الممارسة العملية. لذلك، على سبيل المثال، عندما تترك أي طلب على مواقع الويب وتشير إلى اسمك الكامل وبريدك الإلكتروني، يمكنك الانتباه إلى الرابط إلى مستندات مماثلة: "سياسة معالجة البيانات الشخصية"، "لوائح معالجة البيانات الشخصية" ، إلخ. . ومع ذلك، تجدر الإشارة إلى أن بعض المواقع تهمل ذلك ولا تقدم أي روابط. واتضح أن الشخص يترك طلبًا على الموقع ولا يعرف لأي غرض يجمع الموقع البيانات الشخصية.

يعرض بعض أصحاب العمل أيضًا الوظائف الشاغرة المتاحة على مواقعهم الإلكترونية ويدعوون المرشحين لملء نموذج "نبذة عني". في مثل هذه الحالات، يجب أن يوفر موقع الويب أيضًا إمكانية الوصول إلى "سياسة معالجة البيانات الشخصية".

منذ 1 يوليو 2017، حدد الجزء 3 من المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي جريمة مستقلة - فشل المشغل في الوفاء بالتزامه بنشر أو توفير وصول غير محدود إلى وثيقة مع سياسة المعالجة البيانات الشخصية أو المعلومات المتعلقة بحمايتهم. قد تبدو المسؤولية بموجب هذه المقالة بمثابة تحذير أو غرامات إدارية:

الانتهاك الرابع: إخفاء المعلومات

موضوع البيانات الشخصية (أي، فرديالذي يملك هذه البيانات) له الحق في تلقي المعلومات المتعلقة بمعالجة بياناته الشخصية، بما في ذلك المعلومات التي تحتوي على (الجزء 7 من المادة 14 من قانون 27 يوليو 2006 رقم 152-FZ):

  1. تأكيد حقيقة معالجة البيانات الشخصية من قبل المشغل؛
  2. الأسباب والأغراض القانونية لمعالجة البيانات الشخصية؛
  3. أغراض وطرق معالجة البيانات الشخصية التي يستخدمها المشغل؛
  4. اسم المشغل وموقعه، والمعلومات المتعلقة بالأشخاص (باستثناء موظفي المشغل) الذين لديهم حق الوصول إلى البيانات الشخصية أو الذين يمكن الكشف عن بياناتهم الشخصية على أساس اتفاقية مع المشغل أو على أساس القانون الاتحادي؛
  5. البيانات الشخصية المعالجة المتعلقة بموضوع البيانات الشخصية ذي الصلة، ومصدر استلامها، ما لم ينص القانون الاتحادي على إجراء مختلف لعرض هذه البيانات؛
  6. شروط معالجة البيانات الشخصية، بما في ذلك فترات تخزينها؛
  7. إجراءات ممارسة صاحب البيانات الشخصية للحقوق المنصوص عليها في هذا القانون الاتحادي؛
  8. معلومات حول عمليات نقل البيانات المكتملة أو المقصودة عبر الحدود؛
  9. الاسم أو اللقب والاسم الأول والعائلي وعنوان الشخص الذي يقوم بمعالجة البيانات الشخصية نيابة عن المشغل، إذا تم أو سيتم تعيين المعالجة لمثل هذا الشخص؛
  10. المعلومات الأخرى المنصوص عليها في القانون الاتحادي أو القوانين الفيدرالية الأخرى.

اعتبارًا من 1 يوليو 2017، يعد فشل المشغل في الوفاء بالتزامه بتزويد موضوع البيانات الشخصية بالمعلومات المتعلقة بمعالجة بياناته الشخصية انتهاكًا إداريًا مستقلاً. يستلزم تحذيرًا أو فرض غرامات إدارية:

المخالفة الخامسة: توضيح أو حجب

تنص المادة 21 من القانون الاتحادي الصادر في 27 يوليو 2006 رقم 152-FZ "بشأن البيانات الشخصية" على أنه في عدد من الحالات يكون المشغل ملزمًا بتوضيح أو حظر أو تدمير البيانات الشخصية للأفراد.

تم تقديمه في 1 يوليو 2017 النوع الجديدالانتهاك الإداري - فشل المشغل في الامتثال لطلب موضوع البيانات الشخصية أو ممثله لتوضيح البيانات أو حظرها أو إتلافها (إذا كانت البيانات غير كاملة أو قديمة أو غير دقيقة أو تم الحصول عليها بشكل غير قانوني أو ليست ضرورية للغرض المذكور من المعالجة). تستلزم مثل هذه الإجراءات اعتبارًا من 1 يوليو 2017 تحذيرًا أو فرض غرامات إدارية:

الانتهاك السادس: أمن البيانات الشخصية

يقوم العديد من أصحاب العمل بجمع البيانات الشخصية للموظفين فقط "على الورق" ولا يقومون بأي معالجة آلية، ولا يفعلون ذلك برامج خاصةللمعالجة والبيانات. اعتبارًا من 1 يوليو 2017، أنشأ المشرعون نوعًا جديدًا من الجرائم لهؤلاء المشغلين (على وجه الخصوص، أصحاب العمل) بسبب فشل المشغل، عند معالجة البيانات الشخصية دون استخدام أدوات التشغيل الآلي، في ضمان سلامة البيانات الشخصية عند تخزين المواد الخاصة بهم وسائل الإعلام، إذا أدى ذلك إلى الوصول غير القانوني أو العرضي إلى البيانات الشخصية. وهذا بدوره كان السبب وراء تدميرها أو تعديلها أو حظرها أو نسخها أو توفيرها أو توزيعها أو أي إجراء آخر غير قانوني. إذا حدث هذا، فقد تحدث المسؤولية الإدارية في شكل غرامة إدارية:

المخالفة السابعة: سلب الشخصية

في الحالات الاستثنائية التي ينص عليها القانون، يجب على سلطات الولاية والبلدية إخفاء هوية البيانات الشخصية التي تعالجها في أنظمة المعلومات الخاصة بها، بما في ذلك تلك التي تم إنشاؤها وتشغيلها في إطار تنفيذ البرامج المستهدفة الفيدرالية (البند الفرعي "ح" من الفقرة 1 من القائمة تمت الموافقة عليه بموجب مرسوم حكومة الاتحاد الروسي بتاريخ 21 مارس 2012 رقم 211). تشمل مثل هذه الحالات، على سبيل المثال، حاجة هيئات الدولة والبلديات إلى وضع وثائق تحتوي على بيانات شخصية في الملك العام، على سبيل المثال، نسخ مجهولة المصدر من الإجراءات القضائية (البند 3 من المادة 15 من القانون الصادر في 22 ديسمبر 2008 رقم 262 -FZ).

يمكن فهم إضفاء الطابع الشخصي على البيانات الشخصية على أنها عملية ونتيجة لذلك تصبح مستحيلة دون استخدامها معلومات إضافيةتحديد ملكية البيانات الشخصية لشخص معين (المادة 3 من قانون 27 يوليو 2006 رقم 152-FZ).

اعتبارًا من 1 يوليو 2017، يعد فشل مسؤولي الدولة أو الهيئة البلدية - مشغل البيانات الشخصية في إلغاء طابع البيانات الشخصية أو انتهاك متطلبات هذه العملية انتهاكًا إداريًا. من الممكن المسؤولية في شكل تحذير أو فرض غرامة إدارية على المسؤولين بمبلغ يتراوح بين ثلاثة آلاف وستة آلاف روبل.

وتبين أن الغرامات الإدارية زادت بشكل ملحوظ منذ 1 يوليو 2017. وفي الوقت نفسه، تم فرض غرامات جديدة حسب نوع الجريمة المرتكبة. وبالتالي، يمكن تغريم المسؤولين بمبلغ يتراوح بين 3000 إلى 20000 روبل، ورجال الأعمال الأفراد - بمبلغ 5000 إلى 20000 روبل، والمنظمات - بمبلغ 15000 إلى 75000 روبل. علاوة على ذلك، يمكن محاسبتهم على جرائم مختلفة. وبناء على ذلك، قد تخضع شركة واحدة لعدة غرامات مختلفة بسبب مخالفات مختلفة.

حتى 1 يوليو 2017، الحد الأقصى الممكن عقوبة إداريةبلغت 10000 روبل للمنظمات. وكانت عناصر الانتهاك في المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي واحدة.

سيكون من الأسهل محاسبة الناس

حتى 1 يوليو 2017، كان للمدعي العام فقط الحق في رفع القضايا الإدارية المتعلقة بالبيانات الشخصية بموجب المادة 13.11 من قانون الجرائم الإدارية للاتحاد الروسي. هذا منصوص عليه في الجزء 1 من الفن. 28.4 قانون الجرائم الإدارية للاتحاد الروسي. اعتبارًا من 1 يوليو 2017، ستكون مشاركة المدعي العام اختيارية. اعتبارًا من هذا التاريخ، سيكون للقضايا المنصوص عليها في المادة 13.11 من قانون الجرائم الإدارية الحق في رفعها من قبل مسؤولي Roskomnadzor. تم إدخال هذا التعديل بموجب القانون المعلق في البند 58 من الجزء 2 من المادة 28.3 من قانون الجرائم الإدارية للاتحاد الروسي. وبالتالي، تصبح إجراءات الملاحقة القضائية في القضايا المتعلقة بالبيانات الشخصية أكثر بساطة.

مقالات ذات صلة