Règlement sur le traitement des échantillons de données personnelles. Nous établissons une obligation de non-divulgation des données personnelles

22.09.2019

J'AI APPROUVÉ _____________________________________ (nom du poste de chef d'entreprise)

____________________________________ (nom complet, signature)

"____"___________________ _____ G.

POSITION

sur le traitement et la protection des données personnelles des salariés

1. DISPOSITIONS GÉNÉRALES

1.1. Le présent règlement établit la procédure de réception, d'enregistrement, de traitement, d'accumulation et de conservation des documents contenant des informations relatives aux données personnelles des salariés de l'entreprise. Par salariés, on entend les personnes qui ont conclu Contrat de travail avec l'entreprise.

1.2. L'objectif de ce règlement est de protéger les données personnelles des employés de l'entreprise contre tout accès et divulgation non autorisés. Les données personnelles sont toujours des informations confidentielles et strictement protégées.

1.3. La base de l'élaboration de ce règlement est la Constitution de la Fédération de Russie, le Code du travail de la Fédération de Russie et d'autres actes juridiques réglementaires en vigueur de la Fédération de Russie.

1.4. Le présent règlement et ses modifications sont approuvés par le chef d'entreprise et sont introduits par arrêté de l'entreprise. Tous les salariés de l'entreprise doivent être familiarisés avec ce règlement et ses modifications.

2. CONCEPT ET COMPOSITION DES DONNÉES PERSONNELLES

2.1. Les données personnelles des salariés désignent les informations nécessaires à l’employeur dans le cadre des relations de travail et relatives à un salarié spécifique, ainsi que les informations sur les faits, événements et circonstances de la vie du salarié permettant d’identifier son identité.

2.2. Composition des données personnelles du salarié :

Autobiographie;

Éducation;

Informations sur le travail et l'expérience générale ;

Informations sur votre ancien lieu de travail ;

Informations sur la composition familiale ;

Informations du passeport;

Informations sur l'enregistrement militaire ;

Des informations sur salaires employé;

Informations sur les prestations sociales ;

Spécialité;

Poste occupé;

Montant du salaire ;

Avoir un casier judiciaire;

Adresse de domicile;

Téléphone fixe;

Originaux et copies des commandes du personnel ;

Affaires personnelles et cahiers de travail employés;

Motifs des ordonnances concernant le personnel ;

Copies des rapports envoyés aux autorités statistiques ;

Copies des documents scolaires ;

résultats examen médical pour l'aptitude à la mise en œuvre responsabilités de travail;

Photos et autres informations liées aux données personnelles de l’employé ;

2.3. Ces documents sont confidentiels. Le régime de confidentialité des données personnelles est levé en cas de dépersonnalisation ou à l'expiration de ____ ans de durée de conservation, sauf disposition contraire de la loi.

3. OBLIGATIONS D'UN EMPLOYEUR

3.1. Afin de garantir les droits et libertés de l’homme et du citoyen, l’employeur et ses représentants, lors du traitement des données personnelles du salarié, sont tenus de respecter les exigences générales suivantes :

3.1.1. Le traitement des données personnelles d'un employé peut être effectué uniquement dans le but d'assurer le respect des lois et autres réglementations, d'aider les employés en matière d'emploi, de formation et de promotion, d'assurer la sécurité personnelle des employés, de contrôler la quantité et la qualité du travail effectué et d'assurer la sécurité des biens.

3.1.2. Lors de la détermination du volume et du contenu des données personnelles d'un employé à traiter, l'employeur doit s'inspirer de la Constitution de la Fédération de Russie, du Code du travail de la Fédération de Russie et d'autres. Lois fédérales.

3.1.3. Toutes les données personnelles de l'employé doivent être obtenues auprès de lui. Si les données personnelles de l’employé ne peuvent être obtenues que auprès d’un tiers, l’employé doit en être informé au préalable et son consentement écrit doit être obtenu. L’employeur doit informer le salarié des finalités, des sources et des méthodes prévues pour obtenir des données personnelles, ainsi que de la nature des données personnelles à obtenir et des conséquences du refus du salarié de donner son consentement écrit pour les recevoir.

3.1.4. L’employeur n’a pas le droit de recevoir et de traiter les données personnelles de l’employé concernant ses convictions politiques, religieuses et autres. confidentialité. Dans les cas directement liés à des problèmes les relations de travail, conformément à l'art. 24 de la Constitution de la Fédération de Russie, l'employeur a le droit de recevoir et de traiter des données sur la vie privée d'un employé uniquement de son consentement écrit.

3.1.5. L’employeur n’a pas le droit de recevoir et de traiter les données personnelles du salarié concernant son adhésion à associations publiques ou ses activités syndicales, sauf dans les cas prévus par la loi fédérale.

3.1.6. Lorsqu’il prend des décisions affectant les intérêts d’un salarié, l’employeur n’a pas le droit de se fier aux données personnelles du salarié obtenues uniquement à la suite de leur traitement automatisé ou de leur réception électronique.

3.1.7. La protection des données personnelles d’un employé contre une utilisation illégale ou une perte doit être assurée par l’employeur à ses frais de la manière prescrite par la loi fédérale.

3.1.8. Les salariés et leurs représentants doivent prendre connaissance, contre signature, des documents de l’entreprise fixant la procédure de traitement des données personnelles des salariés, ainsi que leurs droits et responsabilités en la matière.

3.1.9. Les employés ne doivent pas renoncer à leur droit de conserver et de protéger des secrets.

4. RESPONSABILITÉS D'UN EMPLOYÉ

Le salarié est tenu :

4.1. Transférer à l'employeur ou à son représentant un ensemble de données personnelles documentées fiables, dont la liste est établie par le Code du travail de la Fédération de Russie.

4.2. Informez l'employeur sans délai, dans un délai raisonnable, n'excédant pas 5 jours, des modifications apportées à vos données personnelles.

5. DROITS DES EMPLOYÉS

Le salarié a le droit :

5.1. Sur informations complètes sur vos données personnelles et le traitement de ces données.

5.2. Accès gratuit et gratuit à vos données personnelles, y compris le droit de recevoir des copies de tout enregistrement contenant les données personnelles de l'employé, sauf dans les cas prévus par la législation de la Fédération de Russie.

5.3. Accès aux informations médicales par l'intermédiaire d'un professionnel de la santé de votre choix.

5.4. Demander l'exclusion ou la correction des données personnelles incorrectes ou incomplètes, ainsi que des données traitées en violation des exigences spécifiées par la législation du travail. Si l’employeur refuse d’exclure ou de corriger les données personnelles du salarié, il a le droit de déclarer en écrivantà l'employeur de son désaccord avec la justification appropriée d'un tel désaccord. L'employé a le droit de compléter les données personnelles à caractère évaluatif par une déclaration exprimant son propre point vision.

5.5. Exiger de l'employeur qu'il informe toutes les personnes qui ont été préalablement informées de données personnelles incorrectes ou incomplètes du salarié de toutes les exceptions, corrections ou ajouts qui y sont apportés.

5.6. Faire appel devant les tribunaux pour toute action illégale ou inaction de l'employeur dans le traitement et la protection de ses données personnelles.

5.7. Identifiez vos représentants pour protéger vos données personnelles.

6. COLLECTE, TRAITEMENT ET CONSERVATION DES DONNÉES PERSONNELLES

6.1. Le traitement des données personnelles d’un employé est la réception, le stockage, la combinaison, le transfert ou toute autre utilisation des données personnelles d’un employé.

6.2. Toutes les données personnelles de l'employé doivent être obtenues auprès de lui. Si les données personnelles de l’employé ne peuvent être obtenues que auprès d’un tiers, l’employé doit en être informé au préalable et son consentement écrit doit être obtenu.

6.3. L’employeur doit informer le salarié des finalités, des sources et des méthodes prévues pour obtenir des données personnelles, ainsi que de la nature des données personnelles à obtenir et des conséquences du refus du salarié de donner son consentement écrit pour les recevoir.

6.4. Le salarié fournit à l'employeur des informations fiables sur lui-même. L'employeur vérifie l'exactitude des informations en comparant les données fournies par le salarié avec les documents dont dispose le salarié. La fourniture par un salarié de faux documents ou de fausses informations lors de sa candidature à un emploi constitue un motif de rupture du contrat de travail.

6.5. Lorsqu'il postule à un emploi, le salarié remplit un questionnaire et une autobiographie.

6.5.1. Le questionnaire est une liste de questions sur les données personnelles du salarié.

6.5.2. Le questionnaire est rempli par le salarié de manière indépendante. Lors du remplissage du questionnaire, le salarié doit remplir toutes ses colonnes, donner des réponses complètes à toutes les questions et éviter d'effectuer des corrections ou des ratures, des tirets ou des taches en stricte conformité avec les inscriptions contenues dans ses documents personnels.

6.5.3. L'autobiographie est un document contenant une description dans séquence chronologique les principales étapes de la vie et de l'activité du salarié embauché.

6.5.4. L'autobiographie est compilée dans forme libre, sans taches ni corrections.

6.5.5. Le questionnaire et l'autobiographie du salarié doivent être conservés dans le dossier personnel du salarié. Le dossier personnel stocke également d’autres dossiers personnels liés aux données personnelles de l’employé.

6.5.6. Le dossier personnel du salarié est constitué après l’émission de l’ordre d’embauche.

6.5.7. Tous les documents du dossier personnel sont classés sous la couverture de l'échantillon établi dans l'entreprise. Il indique le nom, le prénom, le patronyme du salarié et le numéro de dossier personnel.

6.5.8. Chaque dossier personnel est accompagné de deux photographies couleur du salarié, format ______.

6.5.9. Tous les documents reçus dans un dossier personnel se trouvent dans ordre chronologique. Les feuilles de documents classées dans un dossier personnel sont numérotées.

6.5.10. Le dossier personnel est conservé tout au long activité de travail employé. Les modifications apportées à un dossier personnel doivent être confirmées par des documents pertinents.

7. TRANSFERT DE DONNÉES PERSONNELLES

7.1. Lors du transfert des données personnelles d'un salarié, l'employeur doit se conformer aux exigences suivantes :

Ne pas divulguer les données personnelles de l'employé à un tiers sans le consentement écrit de l'employé, sauf dans les cas où cela est nécessaire pour prévenir une menace pour la vie et la santé de l'employé, ainsi que dans les cas établis par la loi fédérale ;

Ne divulguez pas les informations personnelles des employés à à des fins commerciales sans son consentement écrit ;

Avertir les personnes recevant les données personnelles du salarié que ces données ne peuvent être utilisées que pour les finalités pour lesquelles elles ont été communiquées et exiger de ces personnes qu'elles confirment que cette règle est respectée. Les personnes recevant des données personnelles sur les employés sont tenues de respecter la confidentialité. Cette disposition ne s'applique pas à l'échange de données personnelles des employés de la manière établie par les lois fédérales ;

Autoriser l'accès aux données personnelles des employés uniquement à des personnes spécialement autorisées, alors que ces personnes devraient avoir le droit de recevoir uniquement les données personnelles de l'employé qui sont nécessaires à l'exercice de fonctions spécifiques ;

Ne pas demander d’informations sur l’état de santé de l’employé, à l’exception des informations relatives à la question de la capacité de l’employé à exercer une fonction professionnelle ;

Transférez les données personnelles des employés aux représentants des employés de la manière établie par le Code du travail de la Fédération de Russie et limitez ces informations aux seules données personnelles des employés qui sont nécessaires à l'exercice de leurs fonctions par lesdits représentants.

8. ACCÈS AUX DONNÉES PERSONNELLES DES EMPLOYÉS

8.1. Accès interne (accès au sein de l'entreprise).

Les personnes suivantes ont le droit d’accéder aux données personnelles des salariés :

Chef d'entreprise ;

Chef du département RH ;

Chefs de divisions structurelles du domaine d'activité (accès aux données personnelles uniquement des salariés de leur division) en accord avec le chef d'entreprise ;

Lors d'un transfert depuis un unité structurelle dans un autre, le chef de la nouvelle division peut avoir accès aux données personnelles du salarié en accord avec le chef d’entreprise ;

Employés comptables - aux données nécessaires à l'exercice de fonctions spécifiques ;

Le salarié lui-même, support de données.

8.2. Accès externe.

Les données personnelles en dehors de l'organisation peuvent être soumises à des structures fonctionnelles gouvernementales et non gouvernementales :

Inspections des impôts ;

Les organismes d'application de la loi;

Autorités statistiques ;

Agences d'assurance;

Bureaux d'enregistrement et d'enrôlement militaires ;

Autorités d'assurance sociale ;

Les fonds de pension;

Divisions des organismes gouvernementaux municipaux.

8.3. Autres organisations.

Les informations sur un employé (y compris un employé licencié) ne peuvent être fournies à une autre organisation que sur demande écrite sur papier à en-tête de l’organisation accompagnée d’une copie de la demande de l’employé.

8.4. Parents et membres de la famille.

Les données personnelles d'un employé ne peuvent être fournies à des proches ou des membres de sa famille qu'avec l'autorisation écrite de l'employé lui-même.

9. PROTECTION DES DONNÉES PERSONNELLES DES EMPLOYÉS

9.1. Afin d'assurer la sécurité et la confidentialité des données personnelles des employés de l'organisation, toutes les opérations d'enregistrement, de génération, de maintenance et de stockage de ces informations doivent être effectuées uniquement par les employés du service du personnel qui effectuent ce travail conformément à leurs responsabilités officielles telles qu'indiquées dans leurs descriptions de poste.

9.2. Les réponses aux demandes écrites émanant d’autres organisations et institutions, dans les limites de leur compétence et des pouvoirs qui leur sont accordés, sont données par écrit sur papier à en-tête de l’entreprise et dans la mesure où cela permet de ne pas divulguer une quantité excessive d’informations personnelles sur les salariés de l’entreprise.

9.3. Le transfert d'informations contenant des informations sur les données personnelles des employés de l'organisation par téléphone, fax ou e-mail sans le consentement écrit de l'employé est interdit.

9.4. Les fichiers personnels et les documents contenant les données personnelles des employés sont stockés dans des armoires verrouillées (coffres-forts) qui offrent une protection contre tout accès non autorisé.

9.5. Les ordinateurs personnels contenant des données personnelles doivent être protégés par des mots de passe d'accès.

10. RESPONSABILITÉ DE DIVULGATION D'INFORMATIONS,

RELATIVES AUX DONNÉES PERSONNELLES D'UN EMPLOYÉ

10.1. Les personnes coupables d'avoir enfreint les règles régissant la réception, le traitement et la protection des données personnelles des salariés encourent une responsabilité disciplinaire, administrative, civile ou pénale conformément aux lois fédérales.

Directeur des Ressources Humaines: ______________

Les données personnelles sont divers types d'informations relatives à une personne spécifique (clause 1, article 3 de la loi fédérale du 27 juillet 2006 n° 152-FZ). Comme toute autre information, les données personnelles sont traitées, c'est-à-dire qu'elles sont collectées, systématisées, accumulées, stockées, transférées, détruites, etc. Pour garantir que le traitement des données personnelles ne viole pas les droits et libertés des citoyens, incl. droits à la vie privée, personnelle et secret de famille, une protection adéquate des données personnelles est requise. Ce sujet concerne tous les employeurs, car ils traitent en effet en permanence certaines données personnelles de leurs salariés. Cela inclut, par exemple, les détails du passeport de l'employé ou son adresse de résidence, des informations sur la formation ou l'expérience de l'employé, des informations sur les salaires ou Situation familiale employé, etc L'importance de ce domaine est confirmée par le fait que dans le Code du travail de la Fédération de Russie, un chapitre distinct est consacré à la protection des données personnelles des employés - Ch. 14 « Protection des données personnelles des salariés. » Nous vous parlerons de la protection des données personnelles dans les organisations dans notre consultation et vous fournirons un exemple du Règlement sur la protection des données personnelles des salariés 2017.

Politique de traitement et de protection des données personnelles des salariés

Exigences générales au traitement des données personnelles des employés, ainsi que les questions de protection des données personnelles dans l'entreprise sont contenues dans l'art. 86 Code du travail de la Fédération de Russie.

Ainsi, le Code du travail de la Fédération de Russie établit notamment les aspects suivants du traitement et de la protection des données personnelles :

le traitement des données personnelles des employés est effectué uniquement dans le but de se conformer à la législation de la Fédération de Russie, d'aider les employés à trouver un emploi, d'obtenir une éducation et une évolution de carrière, d'assurer la sécurité personnelle des employés, de surveiller la quantité et la qualité du travail effectué. et assurer la sécurité des biens ;
Toutes les données personnelles de l'employé doivent être obtenues auprès de lui. Si des données personnelles d'un employé ne peuvent être obtenues que d'un tiers, l'employé doit en être informé au préalable et son consentement écrit doit être obtenu ;
l’employeur doit, à ses frais, assurer la protection des données personnelles du salarié contre toute utilisation illicite ou perte ;
L'employeur doit, contre signature, familiariser les salariés et leurs représentants avec la procédure de traitement des données personnelles des salariés, ainsi qu'avec leurs droits et obligations en la matière.

Dans le même temps, les exigences en matière de protection des données personnelles des salariés ne peuvent être considérées indépendamment des questions de transfert de données personnelles. Ainsi, lors du transfert des données personnelles d’un salarié, l’employeur est tenu de respecter certaines exigences.

Ceux-ci comprennent notamment (article 88 du Code du travail de la Fédération de Russie) :

Par règle générale ne pas divulguer les données personnelles de l’employé à un tiers sans le consentement écrit de l’employé ;
avertir les personnes qui reçoivent les données personnelles du salarié que ces données ne peuvent être utilisées que pour les finalités pour lesquelles elles ont été communiquées ;
transférer les données personnelles d'un employé au sein d'une organisation conformément aux réglementations locales, avec lesquelles l'employé doit être familiarisé avec la signature ;
autoriser l'accès aux données personnelles des employés uniquement à des personnes spécialement autorisées ;
ne demandez pas d’informations sur l’état de santé de l’employé (sauf dans les cas liés à la vérification de la capacité de l’employé à exercer une fonction professionnelle).

Dans le même temps, le consentement de l’employé au transfert de données personnelles n’est pas toujours requis. Ainsi, le consentement n'est pas requis lorsque le transfert de données personnelles est nécessaire pour prévenir une menace pour la vie et la santé d'un employé (paragraphe 2 de l'article 88 du Code du travail de la Fédération de Russie) ou est nécessaire sur la base d'autres réglementations fédérales. lois (cela inclut, par exemple, les informations destinées à la Caisse de retraite de la Fédération de Russie, à la Caisse d'assurance sociale, aux autorités fiscales, etc.).

Responsabilité en cas de violation des exigences en matière de protection des données personnelles

La responsabilité en cas de violation des exigences relatives au traitement et à la protection des données personnelles des employés est variée. Cela concerne aussi bien les salariés que l’employeur lui-même.

Par exemple, un employé peut être licencié pour avoir divulgué les données personnelles d'un autre employé dont il a eu connaissance dans l'exercice de ses fonctions. Après tout, cela sera considéré comme une violation flagrante par l'employé de ses obligations de travail (clause « c » du paragraphe 6 de l'article 81 du Code du travail de la Fédération de Russie).

Et, par exemple, le traitement de données personnelles dans des cas non prévus par la législation de la Fédération de Russie peut entraîner une amende de fonctionnaires de 5 000 à 10 000 roubles et pour l'organisation employeur - de 30 000 roubles à 50 000 roubles (partie 1 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie).

Attention, les amendes ont considérablement augmenté depuis le 1er juillet 2017. Si auparavant l'amende maximale infligée à une organisation pour violation de la procédure de collecte, de stockage, d'utilisation ou de distribution de données personnelles était de 10 000 roubles, à partir du 1er juillet 2017, elle est passée à 75 000 roubles.

Règlement sur la protection des données personnelles 2017 : exemple

Considérant que les employés ont le droit d'obtenir des informations complètes sur leurs données personnelles et le traitement de ces données, l'employeur est tenu de les familiariser avec les documents pertinents (paragraphe 2 de l'article 89 du Code du travail de la Fédération de Russie). À ces fins, un règlement sur la protection des données personnelles peut être élaboré, avec lequel l'employeur est tenu de familiariser tous les salariés nouvellement embauchés.

Voici le Règlement sur le traitement et la protection des données personnelles, publié dans le référentiel juridique ConsultantPlus.

Depuis le 1er juillet 2017, les modifications apportées à l'art. 13.11 Code des infractions administratives de la Fédération de Russie sur la responsabilité administrative en cas de violation de la législation sur les données personnelles des individus. Étant donné que les modifications affectent tous ceux qui utilisent des données personnelles, nous examinerons ces innovations dans notre article.

Traitement des données personnelles – 2017

Les données personnelles sont toute information directement ou indirectement liée à une personne physique spécifique (nom, adresse résidentielle, date de naissance, détails du passeport, numéro de téléphone, photo, adresse). E-mail, etc.). Une organisation, un organisme gouvernemental ou un individu qui collecte et traite des données personnelles est appelé opérateur (Loi sur les données personnelles du 27 juillet 2006 n° 152-FZ). Il s'agit notamment des employeurs, ainsi que de tous ceux qui reçoivent des données personnelles des citoyens - institutions médicales, établissements d'enseignement, boutiques en ligne, etc.

Pour l’employeur, ces données sont nécessaires dans le cadre des relations de travail. Ils ne peuvent être reçus que personnellement du salarié lui-même et de tiers - avec son accord écrit. La personne donne son consentement écrit au traitement des données personnelles. Le formulaire n'est pas agréé par la loi, vous pouvez le rédiger vous-même, en tenant compte des exigences du paragraphe 4 de l'art. 9 de la loi n° 152-FZ (clause 3, partie 1, article 86 du Code du travail de la Fédération de Russie, clause 1, article 9 de la loi 152-FZ).

Consentement au traitement des données personnelles (exemple)

Il est inacceptable de collecter et de traiter des données personnelles d'un employé qui ne sont pas liées à son activité professionnelle, par exemple concernant la participation à des associations publiques, la religion, vie privée et ainsi de suite. Il en va de même pour les autres opérateurs qui demandent des données qui ne sont pas liées à la finalité de leur traitement (par exemple, en indiquant les données du passeport dans un questionnaire d'évaluation des performances du site). Les données reçues ne doivent pas être divulguées à des tiers ou distribuées sans le consentement de la personne (article 7 de la loi n° 152-FZ).

L'opérateur est tenu d'assurer une protection adéquate des données, pour lesquelles il établit la procédure de réception, de traitement et de stockage dans le Règlement sur les données personnelles ou dans d'autres règlements internes. Le document définit les mesures nécessaires et désigne également un responsable du traitement. L'accès à ces données ne devrait être autorisé qu'aux personnes autorisées, et elles ont le droit de recevoir uniquement les informations nécessaires à l'exercice de fonctions spécifiques (article 88 du Code du travail de la Fédération de Russie, article 18.1 de la loi n° 152-FZ).

La réglementation sur les données personnelles ou un autre document sur la politique de leur traitement est du domaine public et est présenté à la demande des organismes autorisés - cela s'applique aussi bien aux employeurs qu'aux autres opérateurs (parties 2 et 4 de l'article 18.1 de la loi n° 152 -FZ).

Données personnelles – 2017 : nouveauté dans la responsabilité administrative

La loi n°13-FZ du 02/07/2017 a été adoptée nouvelle édition Article 13.11 du Code des infractions administratives de la Fédération de Russie. Si auparavant l'article contenait un seul élément - la violation de la loi fédérale sur les données personnelles, il s'agit désormais d'une liste complète de sept motifs de responsabilité administrative et, par conséquent, de diverses amendes. Il est probable que si plusieurs violations sont détectées par un opérateur, il sera passible de plusieurs amendes, et non d'une seule.

En outre, les articles 28.3 et 28.4 du Code des infractions administratives de la Fédération de Russie ont été modifiés, simplifiant le processus de poursuite des opérateurs en justice : à partir du 01/07/2017, des protocoles sur les violations de la loi 152-FZ sur les données personnelles sont élaborés. par les employés de Roskomnadzor, et non par le procureur, comme auparavant. Le délai pour traduire en justice est resté le même : 3 mois.

Pour quelle raison sont-ils condamnés à une amende maintenant ?

Voici donc les motifs pour lesquels les entrepreneurs et les organisations traitant des données personnelles peuvent désormais être tenus administrativement responsables :

Les données sont traitées dans les cas non prévus par la loi fédérale sur les données personnelles ou leur traitement est incompatible avec les finalités de leur collecte (partie 1 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie). L'utilisation illégale de données personnelles, si elle n'entraîne pas de responsabilité pénale, est passible d'un avertissement ou d'une amende : pour les personnes physiques d'un montant de 1 000 à 3 000 roubles, pour les fonctionnaires - de 5 000 à 10 000 roubles, pour les organisations - de 30 000 à 50 000 roubles.
Traitement des données sans consentement écrit requis par la loi (clause 2 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie). Le consentement au traitement doit contenir les informations spécifiées dans la partie 4 de l'art. 9 de la loi 152-FZ sur les données personnelles. Les modifications de 2017 prévoient une amende pour son absence à partir du 1er juillet d'un montant suivant : pour les contrevenants individuels - 3 000 à 5 000 roubles, pour les fonctionnaires - 10 000 à 20 000 roubles, pour les organisations - 15 000 à 75 000 roubles.
Absence d'accès illimité à la politique de l'opérateur dans le domaine du traitement des données personnelles (clause 3 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie). L'obligation de fournir l'accès est établie à l'article 2 de l'art. 18.1 de la loi 152-FZ sur les données personnelles. L'impossibilité de prendre connaissance d'un tel document sur papier ou sur un site Internet, si les données sont collectées via Internet, coûtera aux opérateurs : 700-1 500 roubles. - particuliers, 3 000 à 6 000 roubles. – fonctionnaires, 5 000 à 10 000 roubles. – Entrepreneur individuel, 15 000-30 000 roubles. – les organisations, et dans le meilleur cas de scenario Tout se fera avec un avertissement.
Défaut de fournir à une personne des informations concernant le traitement de ses données personnelles (clause 4 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie). La procédure pour demander ces informations est prescrite à l'article 14 de la loi 152-FZ. Les changements depuis le 01/07/2017 sont les suivants : toute violation est passible d'un avertissement ou d'une amende de 1 000 à 2 000 roubles. – particuliers, 4 000 à 6 000 roubles. - fonctionnaires, 10 000 à 15 000 roubles. – Entrepreneur individuel, 20 000-40 000 roubles. – les organismes.
Manquement à délais exigences relatives au blocage, à la modification ou à la destruction des données personnelles (clause 5 de l'article 13.11 du Code des infractions administratives de la Fédération de Russie). Une personne physique ou son représentant peut formuler de telles demandes si les données sont incomplètes, inexactes, obtenues en violation de la loi ou sont périmées, ceci est établi par l'article 21 de la loi sur les données personnelles n° 152-FZ. Les contrevenants recevront un avertissement ou une amende : 1 000 à 2 000 roubles. pour les particuliers, 4 000 à 10 000 roubles. fonctionnaires, 10 000 à 20 000 roubles. – Entrepreneur individuel, 25 000-45 000 roubles. organisations.
Non-respect des conditions garantissant la sécurité des données personnelles lors d'un traitement non automatisé (clause 6, article 13.11 du Code des infractions administratives de la Fédération de Russie). Il s’agit des données « papier » dont l’accès non autorisé a provoqué leur destruction, leur endommagement, leur diffusion illégale, etc. Le non-respect de la protection des données personnelles en 2017 entraîne une amende de 700 à 2 000 roubles. pour les citoyens, 4 000 à 10 000 roubles. pour les fonctionnaires, 10 000 à 20 000 roubles. pour les entrepreneurs individuels et 25 000 à 50 000 roubles. pour les organisations.

Ce sont les évolutions de la protection des données personnelles en 2017, entrées en vigueur le 1er juillet. Comme nous pouvons le constater, les infractions sont devenues plus spécifiques et les amendes infligées aux opérateurs sont devenues sensiblement plus sévères.

La définit comme toute information se rapportant directement ou indirectement au sujet ou permettant de l'identifier (clause 1 de l'article 3). Dans le même temps, l'acte législatif ne contient pas d'explication sur les informations sur individuel comprend ce concept. Dans le contexte des relations de travail, ceux-ci comprennent généralement :

Date de naissance;
informations du passeport;
adresse d'enregistrement et de résidence;
Numéro SNILS ;
des informations sur l'éducation et l'expérience professionnelle.

Il ne s'agit que d'une liste minimale d'informations vous concernant qu'une personne fournit lorsqu'elle postule à un emploi. Dans le processus de coopération, y sont ajoutés : les termes du contrat de travail et accords supplémentaires, informations sur l'enregistrement militaire, les prestations sociales, informations sur sanctions disciplinaires et incitations, rapports destinés aux autorités statistiques et autres. L’ensemble des informations reçues constitue le dossier personnel du salarié.

Pourquoi avez-vous besoin d’une réglementation sur le travail avec les données personnelles ?

En embauchant une personne, l’entreprise assume les fonctions d’opérateur de traitement de données. Autrement dit, l'employeur collecte, stocke, systématise, accumule et met à jour les informations relatives aux salariés. Le travail avec les données personnelles s'effectue à la fois avec l'utilisation d'outils d'automatisation et sans leur utilisation. Le traitement des informations confidentielles s'effectue non seulement pendant la période de coopération, mais également après sa réalisation, au stade de l'archivage. Art. 22.1 oblige les organisations à conserver les dossiers personnels des salariés pendant 75 ans. À toutes les étapes du traitement des informations personnelles, l'employeur est tenu d'empêcher leur transfert à des tiers en l'absence de fondement juridique. Un ensemble de mesures appropriées doit être documenté sous forme de réglementation sur le travail avec les données personnelles des employés.

Structure du Règlement sur les données personnelles

Lors de l’élaboration du Règlement sur la protection des données personnelles 2019, il est recommandé de respecter la structure suivante :

№	Chapitre	Contenu
1	Dispositions de base	Objectifs du document, lois, procédure d'approbation
2	Concepts de base	Définitions des concepts utilisés dans le document
3	Composition des données personnelles des salariés	Liste des informations personnelles
4	Traitement de l'information	Conditions de traitement des informations
5	Ensemble de documents	Liste des documents contenant des informations personnelles
6	Accès aux données personnelles	La procédure d'accès externe et interne à l'information
7	Protection des informations personnelles	Un ensemble de mesures pour assurer la sécurité des informations confidentielles
8	Droits et responsabilités d'un employé	Droits des employés concernant le traitement des données, obligation de notifier rapidement leurs modifications
9	Responsabilité de la divulgation des informations	Explication de la responsabilité en cas de violation de la sécurité de l'information conformément à la loi

Comment mettre en œuvre le règlement sur le traitement et la protection des données personnelles 2019

Au stade de l'élaboration du document, son contenu doit être convenu avec les chefs des services impliqués dans le traitement des données et le service juridique. L'acte réglementaire local terminé est approuvé. Un arrêté est également émis si des modifications sont apportées au texte du document. Si, pour une raison quelconque, il n'existe pas de dispositions sur la protection des données personnelles dans l'entreprise, il est nécessaire de les rédiger immédiatement et de faire connaître son contenu à tous les employés. Les salariés embauchés doivent lire la clause avant de signer le contrat de travail. La confirmation de familiarisation avec le texte est délivrée à la discrétion de l'employeur. La plupart moyen pratique- tenir un journal de familiarisation avec les réglementations locales. Si nécessaire, le salarié peut demander le texte du document autant de fois que nécessaire. Pour simplifier cette procédure, il est recommandé de publier un exemple de règlement sur le traitement des données personnelles d'un employé dans les ressources d'accès électronique de l'entreprise.

APPROUVÉ

Par ordre d'approbation

Dispositions de traitement

données personnelles

Évêque commandant

S.V. Riakhovsky

POSITION
À PROPOS DU TRAITEMENT DES DONNÉES PERSONNELLES
DANS L'ORGANISATION RELIGIEUSE CENTRALISÉE L'UNION RUSSE DES CHRÉTIENS DE LA FOI ÉVANGÉLIQUE (PENTECÔTES)

1. Dispositions générales

1.1. Le Règlement sur le traitement des données personnelles (ci-après dénommé le Règlement) détermine les conditions et la procédure de traitement des données personnelles, qui est effectué par l'organisation religieuse centralisée Union unie russe des chrétiens de foi évangélique (pentecôtistes) ( ci-après dénommé l’Opérateur).

1.2. Le Règlement a été élaboré conformément à la Politique relative au traitement des données personnelles et à la garantie de la sécurité (ci-après dénommée la Politique) et conformément à la clause 2 de la partie 1 de l'art. 18.1 de la loi fédérale du 27 juillet 2006 n° 152-FZ « sur les données personnelles » (ci-après dénommée la loi fédérale « sur les données personnelles »), ainsi que les actes juridiques réglementaires suivants : Code civil Fédération Russe; Code du travail Fédération de Russie du 30 décembre 2001 n° 197-FZ ; Code des impôts de la Fédération de Russie du 31 juillet 1998 n° 146-FZ ; Loi fédérale « sur comptabilité» du 6 décembre 2011 n° 402-FZ « Sur la comptabilité » ; Décret du gouvernement de la Fédération de Russie du 15 septembre 2008 n° 687 « sur l'approbation du règlement sur les spécificités du traitement des données personnelles effectué sans l'utilisation d'outils d'automatisation » ; Décret du gouvernement de la Fédération de Russie du 1er novembre 2012 n° 1119 « Sur l'approbation des exigences en matière de protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles ».

2. Organisation du traitement des données personnelles

2.1. Afin d'assurer le respect des obligations prévues par la loi fédérale « sur les données personnelles » et les actes juridiques réglementaires adoptés conformément à celle-ci, l'Opérateur désigne une personne responsable de l'organisation du traitement des données personnelles (ci-après dénommée la Responsable).

2.2. La personne responsable est tenue :

assurer l'approbation, l'application et la mise à jour, si nécessaire, de la politique, des réglementations et autres lois locales sur le traitement des données personnelles ;
évaluer l’efficacité des mesures prises pour assurer la sécurité des données personnelles avant la mise en service du système d’information de l’Opérateur ;
évaluer le préjudice qui peut être causé aux personnes concernées en cas de violation de la loi fédérale « sur les données personnelles » ;
exercer un contrôle interne sur le respect par l'Opérateur et ses employés de la législation sur les données personnelles, de la politique, des réglementations et d'autres lois locales sur le traitement des données personnelles, y compris les exigences en matière de protection des données personnelles (ci-après - Actes réglementaires);
communiquer aux salariés contre signature les dispositions des actes réglementaires lors de la conclusion d'un contrat de travail, ainsi que propre initiative;
permettre aux salariés d’accéder aux données personnelles traitées dans Système d'Information L'opérateur, ainsi que ses supports matériels, uniquement pour effectuer les tâches professionnelles ;
organiser et contrôler la réception et le traitement des demandes et requêtes des personnes concernées, assurer l'exercice de leurs droits ;
assurer l'interaction avec organisme agréé pour la protection des droits des personnes concernées (ci-après dénommé Roskomnadzor).

3. Assurer la sécurité des données personnelles

3.1. Les employés qui ont accès aux données personnelles sont tenus de ne pas les divulguer à des tiers ni de les diffuser sans le consentement de la personne concernée, sauf disposition contraire de la loi fédérale.

3.2. Afin de protéger les données personnelles contre les actions illicites (notamment accès non autorisé ou accidentel, destruction, modification, blocage, copie, mise à disposition, diffusion), l'Opérateur applique un ensemble de mesures juridiques, organisationnelles et techniques pour assurer la sécurité des données personnelles. , qui constitue un système de protection des données personnelles.

3.3. L’utilisation d’un ensemble de mesures visant à assurer la sécurité des données personnelles garantit le niveau de sécurité établi des données personnelles lors de leur traitement dans le système d’information de l’Opérateur.

3.4. Afin d'assurer le respect des obligations prévues par la loi fédérale « sur les données personnelles » et les actes juridiques réglementaires adoptés conformément à celle-ci, l'Opérateur nomme une personne chargée d'assurer la sécurité des données personnelles dans le système d'information.

3.5. La personne chargée d'assurer la sécurité des données personnelles dans le système d'information est tenue de :

identifier les menaces à la sécurité des données personnelles lors de leur traitement dans le système d’information de l’Opérateur ;
assurer la mise en œuvre de mesures organisationnelles et techniques pour assurer la sécurité des données personnelles et l'utilisation des outils de sécurité de l'information nécessaires pour atteindre le niveau établi de sécurité des données personnelles lors de leur traitement dans le système d'information de l'Opérateur ;
établir des règles d'accès aux données personnelles traitées dans le système d'information de l'Opérateur, ainsi qu'assurer l'enregistrement et la comptabilité de toutes les actions auprès de celui-ci ;
organiser la détection des faits d'accès non autorisé aux données personnelles et prendre des mesures de réponse, y compris la restauration des données personnelles modifiées ou détruites en raison d'un accès non autorisé à celles-ci ;
effectuer chaque année un contrôle interne visant à garantir le niveau de sécurité établi des données personnelles lors de leur traitement dans le système d'information de l'Opérateur.

4. Exercice des droits des personnes concernées

4.1. Lorsqu'une personne concernée contacte ou reçoit sa demande (ci-après dénommée l'Appel), la Personne Responsable veille à ce que la personne concernée reçoive des informations sur la disponibilité des données personnelles la concernant, ainsi que la possibilité de se familiariser avec ces données personnelles dans les 30 jours à compter de la date de l'appel.

4.2. S'il existe des motifs juridiques pour refuser de fournir au sujet des données personnelles des informations sur la disponibilité des données personnelles le concernant, ainsi que sur la possibilité de prendre connaissance de ces données personnelles, le Responsable veillera à ce que le sujet des données personnelles soit a envoyé une réponse motivée par écrit, contenant une référence à la disposition de la partie 8 de l'art. 14 de la loi fédérale « sur les données personnelles » ou d'une autre loi fédérale, qui constitue la base d'un tel refus, dans les 30 jours à compter de la date de la demande.

4.3. Lorsque la personne concernée fournit des informations confirmant que ses données personnelles traitées par l'Opérateur sont incomplètes, inexactes ou non pertinentes, le Responsable veillera à ce que les modifications nécessaires soient apportées aux données personnelles dans les 7 jours ouvrables à compter de la date de la demande.

4.4. Lorsque la personne concernée fournit des informations confirmant que ses données personnelles traitées par l'Opérateur ont été obtenues illégalement ou ne sont pas nécessaires aux fins déclarées du traitement, le Responsable veillera à la destruction de ces données personnelles dans un délai de 7 jours ouvrables à compter de la date de la Application.

4.5. Le responsable veille à ce que la personne concernée soit informée des modifications apportées à ses données personnelles et des mesures prises, et prend également des mesures raisonnables pour informer les tiers auxquels les données personnelles de cette personne ont été transférées.

4.6. Si le sujet des données personnelles retire son consentement à leur traitement, celui-ci peut être poursuivi s'il existe des motifs spécifiés à l'article 2-11 de la partie 1 de l'art. 6, partie 2 art. 10 et partie 2 art. 11 Loi fédérale « sur les données personnelles ».

5. Interactions avec Service fédéral pour la supervision dans le domaine des communications, technologies de l'information et communications de masse de la Fédération de Russie (Roskomnadzor)

5.1. À la demande de Roskomnadzor, la personne responsable organisera la fourniture d'actes locaux concernant le traitement des données personnelles et de documents confirmant l'adoption de mesures pour se conformer aux exigences de la loi fédérale « sur les données personnelles » dans les 30 jours à compter de la date de réception de la demande.

5.2. À la demande de Roskomnadzor, la personne responsable organisera la clarification, le blocage ou la destruction des données personnelles peu fiables ou obtenues illégalement dans un délai de 30 jours à compter de la date de réception de la demande.

5.3. Dans les cas prévus à l'art. 22 de la loi fédérale « sur les données personnelles », le responsable envoie une notification à Roskomnadzor de son intention de traiter les données personnelles.

5.4. Si nécessaire, la personne responsable envoie des demandes à Roskomnadzor concernant le traitement des données personnelles effectué par l'opérateur.

6. Responsabilité en cas de violation de la procédure de traitement et d'assurance de la sécurité des données personnelles

6.1. Si un employé enfreint les dispositions de la législation dans le domaine des données personnelles, il peut être poursuivi en responsabilité disciplinaire, matérielle, civile, administrative et pénale de la manière établie par le Code du travail de la Fédération de Russie et d'autres lois fédérales, conformément avec la partie 1 de l'art. 24 de la loi fédérale « sur les données personnelles » et art. 90 Code du travail de la Fédération de Russie.

6.2. Si un employé divulgue des données personnelles dont il a eu connaissance dans le cadre de l'exercice de ses fonctions, le contrat de travail avec lui peut être résilié conformément aux paragraphes. "c" clause 6 de l'art. 81 Code du travail de la Fédération de Russie.

Derniers articles

2024-02-15 01:13:35
Général tué par sa femme sous Eltsine
2024-02-14 01:12:37
Alexandre Arkhangelski. Biographie. Livres. Films télévisés. Palais sous le capot
2024-02-14 01:12:37
Pétrarque Francesco - courte biographie

Articles populaires

Le choix des éditeurs

2024-02-13 01:13:52

Biographie du chef James Oliver et de son épouse Juliet Le cinquième enfant de Jamie Oliver est né
Juliet Norton est mannequin. Elle est née dans la capitale de la Grande-Bretagne. La femme est incroyablement belle et réussie. Sa biographie contient de nombreux points intéressants, sur...
2024-02-13 01:13:52

Type Coelentérés : caractéristiques générales
Et les polypes coralliens appartiennent au phylum Coelenterata. On les appelle aussi cnidaires - en raison des cellules urticantes situées dans les tentacules et...
2024-02-12 01:13:41

Commune de Dacha "Batki" Bokiy Gleb Bokiy 1960 1999 était un homme d'affaires prospère
Gleb Bokiy - révolutionnaire et agent de sécurité Le nom de Gleb Ivanovich Bokiy est devenu extrêmement populaire ces derniers temps. Le fait est que ce professionnel...
2024-02-12 01:13:41

Framboises pour l'hiver : les préparatifs
Chaque femme au foyer prépare des préparations à la framboise pour l'hiver et, bien sûr, je ne fais pas exception. Il est difficile d'imaginer de longues soirées d'hiver sans une tasse d'aromates...
2024-02-12 01:13:41

Phénoménologie Principaux enjeux et représentants de la phénoménologie
La phénoménologie (l'étude des phénomènes) est l'une des tendances philosophiques les plus originales et les plus significatives du XXe siècle. L'émergence de la phénoménologie...