Günümüzde bilgi olmadan hiçbir faaliyet yapılamaz. Her kuruluş, çalışanlar, ortaklar ve müşteriler hakkındaki bilgileri saklar. Yetkisiz erişim kaybolmasına veya değişmesine neden olur ve bu durum şirketin faaliyetlerini olumsuz etkiler. Kişisel verilerin kuruluşlarda işlenme amaçları, kanunda yer aldığından aynıdır. Bu makalede tartışılmaktadır.

İşleme ne anlama geliyor?

Her kişi, hem iş görevlerini yerine getirirken hem de iş dışı iletişim sırasında, internette gezinirken, gazete okurken başka bir vatandaş hakkındaki bilgileri öğrenebilir. Bu bilgilerin toplanması, işleme olarak kabul edilmez. Bu sadece bilgilerin bir özetidir.

Kişisel bilgilerin özellikle kullanım veya saklama amacıyla toplanması durumunda bu, kişisel verilerin işlenmesi olacaktır. Bu süreç eğitim kurumlarında ve hastanelerde görülmektedir. Bilgiler kaydedilir, veritabanlarına girilir, yasal amaçlarla kullanılmak üzere sınıflandırılır. Bir yazar veya gazeteci bilgi topluyorsa, bunu yaratıcı amaçlarla kullanabilir.

İşleme yöntemleri

Kişisel bilgiler 2 şekilde işlenir:

  1. Otomatik.
  2. Otomatik değil.

İkinci seçenek, bir vatandaşın katılımıyla gerçekleştirilen işlemleri içerir. Bunun otomasyon araçları olmadan gerçekleşmesi durumunda verilerin diğer bilgilerden ayrılması gerekir. Bu, örneğin formların kenar boşluklarına işaret konularak yapılır. Kişisel verilerin işlenme amaçlarının birbirine aykırı olduğunun bilinmesi halinde, kişisel bilgilerin tek bir ortamda yer alması yasaktır.

Vatandaşların kişisel bilgileri farklı kategorilerde sınıflandırılıyorsa, her tür için ayrı bir ortam kullanılması gerekir. Hangi sistemler otomatik olarak sınıflandırılabilir, hangileri değildir? Bu, aşağıdaki gerçeklerle ortaya çıkar:

  1. Kişisel veri sisteminde yer alan kişisel bilgiler, kullanımının bir kişinin kişisel huzurunda gerçekleştirilmesi halinde otomatik olmayan bir işlem yoluyla işlenebilecektir.
  2. Kişisel bilgi bilgi sistemi içerisinde yer aldığı dikkate alındığında verilerin otomatik olarak işlendiği söylenemez.

Otomatik işleme, bilgi işlem araçları kullanılarak gerçekleştirilir. İşleme, sağlanan veriler üzerinde gerçekleştirilen tüm eylemleri ifade eder. Bu süreç toplama, kaydetme, kullanma, imha etme işlemlerini içerir.

Hedefler

Kişisel verilerin kurumda işlenme amaçları aynıdır. Aşağıdakiler için bilgi gereklidir:

  1. Kanun ve kuruluş tüzüğü tarafından öngörülen hallerde sözleşmelerin sonuçlandırılması, yürütülmesi, feshi. Bu tür işlemler vatandaşlarla, bireysel girişimcilerle ve tüzel kişilerle yapılabilir.
  2. İşletmenin personel kayıtları, hukuka uygunluk, sözleşmeler kapsamındaki yükümlülüklerin akdedilmesi ve yerine getirilmesi.
  3. Çalışanlara istihdam, eğitim ve sosyal yardımlardan yararlanma konusunda yardım.
  4. Vergilerin ödenmesi ve kişisel verilerin Emekli Sandığına aktarılmasına ilişkin vergi mevzuatına uyum.
  5. İstatistiksel belgelerin yasal normlara göre doldurulması.

Kişisel verilerin bir kuruluşta işlenmesine ilişkin her amaç, kanunda yer aldığından zorunludur. Bu nedenle tüm kurumlar çalışanlar, müşteriler ve ortaklar hakkında bilgiye ihtiyaç duyar. Kişisel verilerin işlenme amaçları, faaliyetleri hukuka uygun şekilde yürütmemize olanak sağlar.

Kurallar ve düzen

Yönetici, çalışanları hakkında aşağıdaki bilgileri almalıdır:

  1. Eğitim.
  2. İş deneyimi, önceki pozisyon.
  3. Aile ve işleri hakkında veriler.
  4. Sağlık bilgisi.

Çalışan bilgilerini işlerken İK uzmanlarının çeşitli kurallara uyması gerekir:

  1. Bilgileri yasal normlara göre işleyin, istihdama yardımcı olun, eğitim ve kariyer gelişimine yardımcı olun, gerçekleştirilen görevlerin kalitesini izleyin.
  2. Kişisel bilgiler çalışan tarafından sağlanır. Herhangi bir nedenle çalışandan alınamıyorsa, ancak yalnızca üçüncü bir taraftan alınabiliyorsa, bilgilerin ifşa edilmesi için yazılı onay alınması gerekir.
  3. Bir kariyer çalışanı, işle ilgili olmadığı sürece dini yönelim veya sendika faaliyetlerine ilişkin bilgileri bağımsız olarak kullanamaz. Bu bilgiler bir iş ilişkisini ilgilendiriyorsa yazılı izin gereklidir.
  4. Yönetici, personel departmanı çalışanlarının yanı sıra bu kurallara uyumlarını da kontrol eder.
  5. Tüm çalışanların yönetmelik kurallarına aşina olduklarını onaylamak için imzalamaları gerekir.

152 Sayılı Kanuna göre kişisel verilerin işlenme amaçları her işveren için zorunludur. Sanat'a dayanarak. 22'ye göre yönetici, Roskomnadzor'a haber vermeden çalışanların kişisel bilgileriyle işlem yapabilir.

İlkeler

Kişisel verilerin toplanma ve işlenme amaçlarının yanı sıra ilkelerinin de bilinmesi önemlidir. Bunlar Sanatta belirtilmiştir. 5 bölüm. 2 152 Sayılı Federal Kanun:

  1. İşleme amaçlarının ve yöntemlerinin yasallığına ve bütünlüğüne saygı duymak önemlidir.
  2. Toplama sırasında belirtilen amaçlara uygunluk.
  3. İşlenen bilgilerin hacmi ve niteliğinin ve yöntemlerin hedeflere uygunluğu.
  4. Bilginin güvenilirliği.
  5. Veritabanlarının uyumsuz amaçlarla birleştirilmesi kabul edilemez.
  6. Veri sahibinin kimliğinin belirlenmesine olanak tanıyan bir biçimde ve amaçların gerektirdiği süreden daha uzun süre saklanmama. Daha sonra yok edilirler.

Çalışanın kişisel verilerinin işlenme amaçlarına Sanatta belirtilen koşullar kullanılarak ulaşılır. Bölüm 6 2:

  1. İşleme konuların rızası alınarak gerçekleştirilir.
  2. Bu, sözleşmeye bağlı olarak başka bir kişiye emanet edilmişse, o zaman gizlilik önemlidir.
  3. Özel bilgilerin özel bir şekilde işlenmesi.

Konu izninin gerekli olmadığı birkaç istisna vardır. Bu şu durumlarda olur:

  1. Prosedür, amacını, koşullarını ve bilgileri işleme tabi tutulan konuların çeşitliliğini belirleyen Federal Kanun temelinde gerçekleştirilir.
  2. Sözleşmeyi yerine getirmek için her şey yapılır.
  3. İstatistiksel ve diğer bilimsel amaçların yerine getirilmesini gerektirir.
  4. İzin alınmasının mümkün olmadığı hallerde canın, sağlığın ve hayati menfaatlerin korunması gerekir.
  5. Posta teslimatı devam ediyor.
  6. Bir gazetecinin mesleki faaliyeti gerçekleştirilir.
  7. Kanuna uygun olarak yayına konu olan bilgiler işlenir.

Anlaşma

Bir kişiyi kendisi hakkındaki bilgilerin istenmeyen kullanımına karşı korumak için, kişisel verilerin işlenmesine ilişkin rızası gereklidir. İşleme amacı hukuka uygun olmalıdır, aksi takdirde yasaktır. İşe başvururken, banka hesabı açarken ve diğer önemli işlemlerde onay verilir.

Tek bir izin şekli yoktur. İşletmenin kullandığı formda serbest biçimde düzenlenir. İznin geçerli olduğu süre belgenin kendisinde belirtilir. Kişisel verilerin kuruluşta işlenme amaçları da burada belirtilmektedir.

Kuruluşun sorumluluğu

Kişisel bilgilerin alınmasından, işlenmesinden ve saklanmasından sorumlu uzman, kurumun müdürü tarafından atanır. Ayrıca bilgiye erişimi olan kişileri de belirler. Belgenin siparişe göre yürütülmesi gerekir. Bilgilerin işlenmesinden genellikle aşağıdaki kişiler sorumludur:

  1. İK departmanı başkanları.
  2. Personel müfettişleri.
  3. İK yöneticileri.
  4. İK müdür yardımcıları.
  5. İK uzmanları.

152 Sayılı Federal Kanuna göre, kişisel verileri toplayan ve işleyen çalışan bir operatördür. Lider budur. Kişisel verilerin işlenme amaçları eğitim kurumu organizasyonlarda olduğu gibi.

Aktarım ve depolama

Belgelerin saklanması kişisel bilgilerÇalışanlarla ilgili yangına dayanıklı dolap veya kasalarda gerçekleştirilir. Personel departmanı müdürü bunların anahtarlarına sahip olmalıdır. Kendisi bulunmadığı takdirde vekil görev yapar. Bir çalışanın kişisel bilgilerinin aktarılması gerekiyorsa, personel memuru aşağıdaki kuralları hatırlamalıdır:

  1. Kişisel bilgilerin yazılı izin alınmadan üçüncü kişilere aktarılması yasaktır. Bunun istisnası, sağlığa zarar gelmesini önlemek için ve kanunla belirlenen durumlarda verilerin gerekli olduğu durumlardır. Ayrıca bilgilerin ticari amaçlarla izinsiz olarak ifşa edilmesi de yasaktır.
  2. Çalışan verilerinin aktarılması gerekiyorsa bu bilgilerin kullanılacağı kişilere bilgilerin yalnızca talep edilen amaç doğrultusunda kullanılabileceğinin bildirilmesi gerekir.
  3. Bir personel çalışanı yalnızca iş görevlerini yerine getirmek için gerekli bilgileri kullanabilir.
  4. Personel çalışanın, çalışanın sağlık durumu hakkında bilgi edinme hakkı yoktur.

İstisnalar, çalışanların görevlerinin yerine getirilmesiyle ilgili durumları içerir.

Sorumluluk

Çalışanların bilgi toplama, işleme ve yayınlama prosedürünü ihlal etmesi durumunda yasalara göre disiplin ve cezai sorumluluk üstlenirler. Sanatta. Federal Yasanın 5'i, otomatik prensipler veya başka yollarla işlenmek üzere toplanan kişisel bilgilerin, veri sahibinin tanımlanabileceği bir biçimde üretilmesi gerektiğini belirtir.

Konunun tespiti, işleme için gerekenden daha uzun olamaz. Tamamlanması halinde kişisel veriler bir süreliğine imha edilemez. Çalışanların kişisel verileri kurumda 75 yıl süreyle saklanır. Bu nedenle her işletmenin bilgi saklama ve işleme kurallarına uyması gerekir.

Kişisel bilgilerle yapılan çalışmalar yasalara tam olarak uygun şekilde yapılmalıdır. Özellikle kişisel bilgilerin işlenmesinin temel ilkelerinden biri, sahibinden alınan izinde belirtilen kullanım amaçlarına ve burada belirtilen kapsama sıkı sıkıya bağlı kalmaktır.

Kişisel veri kavramı ve işlenmesinin esasları

Hükümlerden biri, vatandaşlar hakkındaki tüm kişisel bilgilerin Rusya Federasyonuülke içinde bulunan sunucularda bulunmalıdır. Rusya sınırları dışında bulunan sitelerden alınan bilgilere dayanarak bilgilerinizin tamamlanmasına izin verilmez.

Bir kişinin kendisiyle ilgili herhangi bir mesajın doğru olmadığını düşündüğü bir durumda, operatörle (152-FZ sayılı Kanunun 14. Maddesi uyarınca) iletişime geçerek bunların silinmesi veya uygun şekilde ayarlanması talebiyle iletişime geçebilir.

Reddedilmesi durumunda böyle bir kişinin mahkemeye gitme hakkı vardır.

Kişisel verilerin işlenmesine onay

Böyle bir belge şunları içermelidir: aşağıdaki bölümler:

  1. Belgede kimin rıza gösterdiği ve pasaport bilgileri yer alıyor.
  2. İzin verilen operatörün adı verilir.
  3. İşleme rızasının hangi amaçlarla verildiğini yazıyorlar.
  4. İşlenmesine izin verilen verilerin listesi özel olarak listelenmiştir.
  5. Söz konusu bunlarla ilgili tüm işlemler listelenir.
  6. İznin geçerlilik süresi.
  7. Bir imza, kodu ve tarihi yerleştirilir.

Örneğe göre hazırlanan izin, yalnızca içinde özel olarak belirtilenler için izin verir.

Söz konusu bilgilerin kullanımı aşağıdakiler için gereklidir:

  1. Dokümanların İK departmanında muhafaza edilmesi.
  2. Sözleşmelerin akdedilmesi ve diğer hukuki işlemlerin yürütülmesi.
  3. Vergi mevzuatı gerekliliklerine uyumla bağlantılı olarak.
  4. Benzer türden diğer amaçlar.

Şuna dikkat edilmelidir:

  • bu tür her durumda bilgi edinme yönetmeliklerle belirlenir;
  • belirli bir bileşimde, belirli bir hacimde, belirli bir süre için ve yalnızca belirtilen hedefleri gerçekleştirmek için gerçekleştirilir.

Kişisel bilgilerin hedefli kullanımına örnekler

Ekonominin ve kamusal yaşamın çeşitli alanlarında vatandaşların kişisel verileri hayati önem taşımaktadır.

İÇİNDE tıbbi kurum Bir kişinin yaşamı boyunca sağlığına ilişkin ayrıntıları bilmek önemlidir. Aynı zamanda sahibi kişisel bilgiler hastadır. Bunları kullanan operatör bir klinik veya başka bir tıbbi kurumdur. İşleme için Roskomnadzor'dan izin alması gerekiyor. Bir klinik, örneğin özel bir hastaneye veri aktarıyorsa, vatandaşın yazılı onayını alması gerekir.

Banka için Kredi verirken, başvuru sahibinin alınan krediyi ödeyebilecek durumda olup olmadığı veya uygun mali kaynaklara sahip olup olmadığı konusunda makul bir tahminde bulunmak hayati önem taşımaktadır. Bu, gelir, istihdam, aile yapısı ve diğer bazı konularda ayrıntılı bilgi gerektirecektir. Bilginin sahibi müşteridir. Banka, işlemi gerçekleştiren operatördür. Müşteri, kendisi hakkındaki bilgileri kullanma iznini iptal etme hakkına sahiptir. Bilgiyle çalışmanın amaçları, Rusya Federasyonu'nun bankacılık mevzuatının gerekliliklerine uyumu sağlamaktır.

Bu veya buna benzer bilgileri vermeden bunu yapmak mümkün değildir. Ancak kullanımının mevcut düzenlemelerin gerekliliklerini ihlal etmemesi önemlidir.

Bilgiyle çalışmanın kuralları ve ilkeleri


Rastgele bir kişinin kaynak metinleri doğrudan anonimleştirilmiş bilgilerden elde edemeyeceği anlaşılmaktadır. Ancak bu organizasyonun kendisi daha sonra onu geri yükleyebilecektir.

Kişisel verilerin kötüye kullanılmasına ilişkin ihlaller

1 Temmuz 2017 tarihinden itibaren 152-FZ sayılı Kanunun ihlaline ilişkin sorumluluğu tanımlayan İdari Suçlar Kanununda değişiklikler yapılmıştır. Belirlenen kuralların ihlal edilmesi durumunda yasa uygun cezalar sağlar.

Bu durumun söz konusu olduğu durumlarda bilgi toplanması halinde Yasal bir dayanağının bulunmaması veya yasa dışı amaçlarla işlem yapılması, para cezası uygulanır. İçin bireyler miktar 1 ila 3 bin ruble arasında olacak, yetkililer 5 ila 10 bin ruble, işletmeler ise 30 ila 50 bin ruble ödeyecek.

eğer olsaydı bilgilerin açıklanması, para cezası bu gibi her bir durumla bağlantılı olarak değerlendirilir. 500 ila 1000 ruble arasında değişebilir. ihlalin meydana geldiği çalışandan. Eğer yaşananların sorumlusu olan bir kuruluştan bahsediyorsak o zaman miktar artıyor. Şimdi 5 ila 10 bin ruble arasında değişebilir.

Söz konusu düzenleyici kanun şunu belirtir: 152-FZ yasa hükümlerine uygunluk Roskomnadzor tarafından izlenmelidir. Kişisel Verilerin Korunması Kanunu’nun 22. maddesi kapsamında işleme başlamadan önce oraya bildirimde bulunması gerekmektedir. Özellikle uygun kontrolleri yapar ve ihlal tespit edilmesi halinde giderilmesi gereken eksikliklere ilişkin talimat verir. Eğer emir yerine getirilmedi Failin 20 bin rubleye kadar para cezasına çarptırılması öngörülüyor.

Bir sonraki videonun yazarı size başkalarının verileriyle çalışmayı nasıl düzgün bir şekilde organize edeceğinizi anlatacak.

Şirket, çalışanlardan, müşterilerden ve yüklenicilerden kişisel bilgiler almadan yapamaz. İsimlere, adreslere ve diğer bilgilere ihtiyacımız var. Ancak şirketin kişisel verileri yalnızca belirli amaçlarla işleme hakkı bulunmaktadır. Verilerin başka herhangi bir şekilde kullanılması, idari işlemle sonuçlanacak bir ihlaldir.

Bilgi talep edilme amaçları yasalara ve şirketin ihtiyaçlarına uygun olmalıdır.

Bir şirket, iş yaparken korunması gereken bilgilerle ilgilenir. Gizli bilgiler teknolojiler, projeler, gelişmeler, işlemlerin özellikleri vb. hakkındaki bilgileri içerir. Kanun ayrıca şirket için çalışan, şirketin müşterileri olan veya karşı tarafları temsil eden kişiler hakkındaki bilgilerin korunmasını da gerektirir. “Kişisel Verilere İlişkin Kanun” anayasal koruma ilkesi uyarınca yürürlüktedir mahremiyet(152 Sayılı Kanunun 2. Maddesi). Kanunun gerekleri, kendi konularından veri alan her kuruluş için geçerlidir (152 Sayılı Kanun Madde 1).

Kişisel verileri işlemeye başlayan şirketin, bunu yalnızca belirli amaçlarla talep etme hakkı vardır (152 Sayılı Kanun 2. Bölüm, 5. Madde). Ayrıca veri hacmi hedeflere bağlıdır. Şirketin ihtiyaç duymadığı bilgileri talep edemezsiniz (152 Sayılı Kanun'un 5'inci maddesinin 4 ve 5'inci maddeleri). Örneğin, bir çevrimiçi mağazanın alıcıdan pasaport verilerini talep etme veya belirtmesini isteme hakkı yoktur. posta adresi, eğer müşteri malları kendi kendine teslim alırsa.

Müşterilerin ve çalışanların kişisel verilerinin işlenme amaçlarını şirket kendisi belirler

Bilginin tam olarak ne için gerekli olduğu şirket tarafından belirlenir (152 Sayılı Kanun'un 2. Maddesi, 3. Maddesi). Kural olarak bir kuruluş, müşterilerinin, yüklenicilerinin ve çalışanlarının kişisel verilerini aşağıdaki amaçlarla talep eder:

  1. Sözleşmelerin sonuçlandırılması. Bunlar, şirketin hizmet veya mallarını kullanan tüketicilerle, diğer türdeki müşterilerle, iş ortaklarıyla, iş sözleşmeleri vb. ile yapılan sözleşmeler olabilir. Şirketin imzalayacağı herhangi bir sözleşme için, kişisel veriler gerekli olacaktır - bu şekilde hareket eden bir çalışan çıkarları, bir temsilcisi, karşı tarafın kendisi veya özel bir kişi ise karşı tarafın kendisi. Şirketin yükümlülüklerini yerine getirebilmesi için veri eklenmesi gerekmektedir.
  2. Personel hakkındaki bilgilerin sistemleştirilmesi, personel kayıtlarının tutulması ve ofis işleri. Çalışan verileri yalnızca iş sözleşmelerinin imzalanması için değil aynı zamanda iş ilişkisi çerçevesindeki diğer tüm işlemler için de gereklidir.
  3. Bütçeye vergi kesintisi, sigorta primleri vb. ile ilgili kanunun gerekliliklerine uygunluk. Şirket, çalışanlarından kişisel gelir vergisi katkı payları keserek bu tutarları devlete, Emekli Sandığı ve diğer kuruluşlara aktarır (6464 Sayılı Kanunun 22. Maddesi) 152, Rusya Federasyonu İş Kanunu'nun 86. Maddesi).
  4. İstatistiklerin oluşumu. Bu amaçla verilerin anonimleştirilmesi gerekmektedir (152 Sayılı Kanun Madde 9, Kısım 1, Madde 6).

Misafir, tanışın -!

Şirket, kişisel veri sahibini işlenme amaçları konusunda uyarmakla yükümlüdür.

Şirket, kişisel verilerinin işlenmesini hangi amaçla talep ettiğini çalışanına veya müşterisine bildirmekle yükümlüdür (152 Sayılı Kanun Madde 4, Kısım 4, Madde 9). Bu, bilgi sağlamak için onay almanın bir parçası olarak yapılır. Hedeflerin listesi şunları içermelidir:

  • kapsamlı ve spesifik olun;
  • tüzüğün hükümlerine ve kuruluşun yerel düzenlemelerine uymak;
  • Şirketin gerçekte takip ettiği hedeflere karşılık gelir.

Örneğin bir banka müşterisinden bilgi talep ediyor. İşlemenin amacı, aşağıdakiler de dahil olmak üzere hesabına hizmet vermektir:

  • hesap açma,
  • hesap tutma,
  • Bir hesaba ve hesaba para aktarma işlemleri,
  • müşteri danışmanlığı.

Bir diğer bilgi örneği ise şirket politikasında çalışanların kişisel verilerinin işlenme amaçlarının sıralanmasıdır. Kuruluş, bilgilerin aşağıdaki amaçlarla kullanılmasını şart koşar:

  • başvuranların özgeçmişleriyle çalışırken;
  • Şirketin iş sözleşmesi kapsamındaki yükümlülüklerini yerine getirmek;
  • iş, vergi ve emeklilik kanunlarına uymak;
  • çalışanların eğitimini düzenlemek ve mesleki seviyelerini geliştirmek;
  • ücretleri hesaplarken ve tahakkuk ettirirken;
  • çalışanların çalışmalarının kalitesini kontrol etmek;
  • çeşitli garantiler ve avantajlar vb. sağlarken

Neredeyse tüm durumlarda, veri sahibinin işlemeye ilişkin onayının alınması gerekir. Tahsilat amacı şirketin piyasada tanıtımını yapmak veya siyasi propaganda yapmak ise işletmeci, kişinin rıza verdiğini ispat etmekle yükümlüdür (152 Sayılı Kanun 1. Bölüm, 15. Madde). Aksi halde talep edilmemiş sayılır.

Çalışan veya müşteriyle yapılan anlaşmaya ek olarak, veri elde etme amaçları özel bir belgeye - bu tür verilerle çalışmaya ilişkin şirket politikasına - yansıtılmalıdır. Bu kamuya açık bir belge olmalıdır. Kural olarak kuruluşun web sitesinde özel bir bölümde yayınlanır.

Profesyonel yardım sistemi avukatlar için, en karmaşık soruların bile cevabını bulacağınız yer.

1 Temmuz 2017 tarihinde, Maddeyi değiştiren 02/07/2017 tarihli ve 13-FZ sayılı Federal Kanun yürürlüğe girmiştir. İdari Suçlar Kanunu'nun 13.11'i ve yasadışı faaliyetler için idari sorumluluğa getirilme gerekçeleri listesinin genişletilmesini ve para cezalarında önemli bir artış sağlanmasını sağlar.

Kişisel veri operatörünün 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanun'un gerekliliklerine uymak için hazırlaması gereken zorunlu belgelerden biri, şirketin nasıl çalıştığını açıklayan kişisel verilerin işlenmesine ilişkin Politikadır; çalışanların, müşterilerin ve diğer bireylerin verileriyle. Bu dosya şurada bulunur: ücretsiz erişim herhangi bir şekilde kişisel veri toplayan hemen hemen tüm sitelerde.

Kişisel Veri İşleme Politikası doğru şekilde nasıl hazırlanır, hangi bölümler yer almalıdır? Roskomnadzor bu konulara açıklık getiriyor.

Kişisel Veri İşleme Politikasının Yapısı

  • Genel hükümler
  • Kişisel verilerin toplanma amaçları
  • Kişisel verilerin işlenmesinin hukuki dayanakları
  • İşlenen kişisel verilerin hacmi ve kategorileri, kişisel veri sahiplerinin kategorileri
  • Kişisel verilerin işlenmesine ilişkin usul ve koşullar
  • Kişisel verilerin güncellenmesi, düzeltilmesi, silinmesi ve yok edilmesi, kişilerin kişisel verilere erişim taleplerine yanıt verilmesi

1. Genel hedefler

Bu bölümde aslında Kişisel Veri İşleme Politikası neyi amaçlıyor sorusunun cevabını veriyorsunuz. Ayrıca belgede kullanılan temel kavramların yanı sıra operatörün hak ve yükümlülükleri ile kişisel verilerin konusu da açıklanmaktadır.

2. Kişisel verilerin toplanma amaçları

Sanat. 27 Temmuz 2006 tarih ve 152-FZ sayılı Federal Kanunun 5'i, veri toplamaya ilişkin belirli, meşru amaçların belirlenmesini gerektirir. Dolayısıyla bu amaçlara uygun olmayan kişisel verilerin işlenmesi mümkün değildir.

Roskomnadzor, kişisel verilerin işlenme amaçlarının şunları içerebileceğini belirtmektedir:

  • operatörün faaliyetlerini düzenleyen yasal düzenlemelerin analizinden;
  • operatör tarafından fiilen gerçekleştirilen faaliyetlerin amaçlarından;
  • operatörün kurucu belgeleri tarafından sağlanan faaliyetlerden;
  • operatörün spesifik iş süreçlerinden spesifik olarak bilgi sistemleri kişisel veriler (operatörün yapısal bölümleri ve belirli kişisel veri sahibi kategorileriyle ilgili prosedürleri).

3. Kişisel Verilerin İşlenmesinin Hukuki Sebebi

27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanun, kişisel verilerin işlenmesinin yasal dayanağı değildir. Bu rol, operatörün verileri işlediği yasal düzenlemelerle yerine getirilir.

Bu nedenle, Veri İşleme Politikasında aşağıdaki yasal dayanaklar belirtilebilir: operatörün faaliyetleriyle ilgili ilişkileri düzenleyen, esas alınarak kabul edilen federal yasalar ve düzenleyici yasal düzenlemeler; operatörün yasal belgeleri; operatör ile kişisel verilerin konusu arasında yapılan anlaşmalar; kişisel verilerin işlenmesine izin vermek (doğrudan Rusya Federasyonu mevzuatı tarafından öngörülmeyen ancak operatörün yetkilerine karşılık gelen durumlarda).

4. İşlenen kişisel verilerin hacmi ve kategorileri, kişisel veri sahiplerinin kategorileri

İşlenen kişisel veri miktarının belirtilen işleme amaçlarından sapmaması önemlidir.

Kişisel veri konularının kategorileri şunları içerebilir: hem mevcut hem de eski çalışanlar, açık pozisyon adayları, çalışanların akrabaları, müşteriler ve karşı taraflar (bireyler), müşterilerin ve karşı tarafların temsilcileri veya çalışanları.

Roskomnadzor, her konu kategorisi için ve belirli amaçlarla ilgili olarak işlenen tüm kişisel verilerin belirtilmesi gerektiğine dikkat çekiyor. Özel kategorilerdeki kişisel verilerin ve biyometrik kişisel verilerin (varsa) işlenmesine ilişkin tüm durumlar ayrı olarak açıklanmaktadır.

5. Kişisel verilerin işlenmesine ilişkin usul ve koşullar

Bu bölümde anlatılanlar:

  • kişisel verilerle gerçekleştirilen eylemlerin listesi;
  • kişisel verileri işleme yöntemleri;
  • kişisel verilerin işlenmesi şartları.

Operatörün kişisel verileri işleme hedeflerine ulaşmak için üçüncü taraflarla etkileşime girmesi durumunda:

  • kişisel verilerin üçüncü taraflara aktarılmasına ilişkin koşulları açıklamak (sınır ötesi veri aktarımı dahil);
  • üçüncü tarafların adını ve yerini belirtin;
  • veri aktarımının amacını ve hacmini belirtin;
  • işlenen kişisel verilerin korunması gereklilikleri de dahil olmak üzere işleme eylemlerini, yöntemlerini ve diğer işleme koşullarını listeler.

Operatör, kişisel verileri kanunun öngördüğü gerekçelerle soruşturma ve soruşturma organlarına ve diğer yetkili makamlara aktarma hakkına sahiptir.

Kişisel Veri İşleme Politikası, kişisel verilerin gizlilik gerekliliklerine uygunluğuna ilişkin bilgileri (bunlar 27 Temmuz 2006 tarihli ve 152-FZ sayılı Federal Kanunun 7. Maddesinde belirtilmiştir) ve önlem alınmasına ilişkin bilgileri (Madde 18.1 Bölüm 2) içermelidir. , Sanat 19'un 1. Bölümü).

Ayrıca operatör, kişisel verilerin işlenmesinin sona erdirilmesine ilişkin şartı da belirtmelidir. Bu, işleme hedeflerine ulaşılması, işleme rızasının sona ermesi, kişisel verilerin işlenmesine ilişkin rızanın geri çekilmesi, yasa dışı veri işlemenin tespiti olabilir.

Kişisel verilerin saklanması gibi bir konuya özellikle dikkat edilmelidir. Öncelikle sürelerin belirtilmesi gerekiyor. İkinci olarak, Rusya Federasyonu topraklarında bulunan veritabanları kullanılmaktadır. Üçüncüsü, depolamanın, kişisel verilerin konusunun, işleme amaçlarının gerektirdiğinden daha uzun bir süre boyunca tanımlanmasına izin verecek bir biçimde yapılması gerektiği dikkate alınır. Dördüncüsü, otomasyon araçları kullanılmadan verilerin işlenmesi de dahil olmak üzere diğer depolama koşullarından bahsetmek gerekir.

6. Kişisel verilerin güncellenmesi, düzeltilmesi, silinmesi ve yok edilmesi, kişilerin kişisel verilere erişim taleplerine yanıt verilmesi

Sanat'a göre. 21 No. 152-FZ, kişisel verilerin yanlış olduğu teyit edilirse, kişisel veriler operatör tarafından güncellenmelidir. Aynı durum işlemenin hukuka aykırılığının teyidi için de geçerlidir.

Kişisel veriler, işlenme amaçlarına ulaşıldığında ve kişisel verilerin konusunun işlenmesine ilişkin rızayı geri çekmesi durumunda, aşağıdaki durumlar haricinde imhaya tabidir: kişisel verilerin konusunun taraf, lehdar veya olduğu sözleşmede aksi belirtilmedikçe garantör; aksi takdirde operatör ile kişisel verilerin konusu arasındaki başka bir sözleşmede öngörülmemiştir. Operatör, belirtilen gerekçelerle kişisel verilerin konusunun rızası olmadan işleme yapma hakkına sahip değildir. Federal yasa 27 Temmuz 2006 tarihli ve 152-FZ sayılı Kanun veya diğer federal yasalar.

Sanat'a dayanarak. 20 Operatör, talep üzerine kendisi tarafından gerçekleştirilen kişisel verilerin işlenmesi hakkında kişisel veri bilgilerinin konusunu bilgilendirmekle yükümlüdür.

Roskomnadzor, kişisel veri sahiplerinin, temsilcilerinin ve yetkili organlarının verilerin yanlışlığı, işlenmesinin yasa dışı olması, rızanın geri çekilmesi ve verilere erişim ile ilgili talep ve itirazlarına yanıt verilmesine ilişkin düzenlemelerin Kişisel Veri İşleme Politikasına dahil edilmesini önerir. Politikaya uygun talep ve itiraz formlarının eklenmesi iyi bir fikir olacaktır.

Kişisel Veri İşleme Politikasının ofiste ve internet sitesinde yayınlanması

Şirket tarafından verileri işlenen her kişi, Kişisel Veri İşleme Politikasını tanıma hakkına sahiptir. Bu nedenle kamuya açık bir yerde yayınlanması gerekir. Örneğin bunun için bir bilgi standı kullanın.

Bir şirketin internet aracılığıyla kişisel veri toplaması halinde Politikayı internet sitesinde yayınlamak zorundadır. Bir site ziyaretçisi bağlantıya tıklayarak görebilir.

İşletmeyi etkileyen en önemli değişiklikleri öğrenmek için kanalımıza katılın.

Bu bilgi, kişinin kişisel verileriyle ilgili herhangi bir eylem veya işlemdir: toplama, kaydetme, sistemleştirme, biriktirme, depolama, açıklama, çıkarma, kullanma, aktarma, duyarsızlaştırma, engelleme, silme, imha.

Neden konu hakkında bilgi toplayıp analizine izin vermelisiniz?

Müşteri/hasta için

Bir vatandaşın sağlık durumuna ilişkin bilgiler, özel bir kişisel veri kategorisine aittir. Bölüm 2, Madde 4, Sanat'a göre. 10 152 Sayılı Federal Kanun, aşağıdaki amaçlarla gerçekleştirilmesi koşuluyla, bu tür bilgilerin konunun rızası olmadan işlenmesine izin verilir:

  • tanı koymak;
  • hastalığın önlenmesi;
  • tıbbi ve tıbbi-sosyal hizmetlerin sağlanması.

Bu kural, işlemenin Rusya Federasyonu mevzuatı uyarınca tıbbi gizliliği korumakla yükümlü profesyonel bir doktor tarafından gerçekleştirildiği durumlar için geçerlidir.

Bunun istisnası, rıza alınmasının mümkün olmadığı durumlardır. ancak hastanın yaşamını veya sağlığını korumak için gereklidir.

Bir kişi herhangi bir hizmeti kullanıyorsa - bir sözleşme yaparsa, kredi başvurusunda bulunursa - yani müşteri ise, onunla ilgili kişisel bilgiler de 152 sayılı Federal Kanun uyarınca işlenebilir.

Müşteri verileri aşağıdakiler için kullanılabilir:

  1. Danışmanlık, bilgi ve aracılık hizmetleri sağlamak.
  2. Müşteri ile bir sözleşmenin imzalanması ve yürütülmesi.
  3. İnsan kaynakları ve muhasebe hizmetlerini yürütmek.
  4. Rusya Federasyonu mevzuatı tarafından yasaklanmayan diğer işlemler.

Kuruluşun bir çalışanı için

İşverenin çalışanlarına hakkı vardır, bu Sanatta yer almaktadır. 22 152 Sayılı Federal Kanun. Kişisel verilerin kurumda işlenme amaçları:

  • Rusya Federasyonu Mevzuatı ve İşletme Şartı tarafından öngörülen vatandaşlarla yapılan sivil sözleşmelerin tescili.
  • Personel kayıtları, yasa ve yönetmeliklere uygunluk, iş ve medeni hukuk sözleşmeleri kapsamındaki yükümlülüklerin kaydı.
  • İş bulma, eğitim alma veya terfi etme, kayıt olma ve sosyal yardımlardan yararlanma konusunda yardım.
  • Çalışanın kişisel güvenliğinin ve mal güvenliğinin sağlanması.
  • Emeklilik sigortasına katkı paylarının hesaplanmasında vergi ve emeklilik mevzuatı gerekliliklerine uygunluk.
  • İstatistiklerin Çalışma, Vergi Kanunları ve federal yasalara uygun olarak oluşturulması.
  • Çalışanın yaptığı işin takibi.

(30 Aralık 2001 tarih ve 197-FZ tarihli “Rusya Federasyonu İş Kanunu”nun 86. Maddesi). “Özel” olarak sınıflandırılan bir çalışana ait kişisel bilgiler işveren tarafından işleme tabi değildir.

Kişisel verilerin işlenmesine ilişkin Rızanın geçerlilik süresi belirlenmelidir; bu, belirli bir tarih veya olay olabilir; örneğin, bir çalışanın işten çıkarılması veya rızasının geri çekilmesi.

Örnekler

Bankacılık sektörü

Banka "Finansal" Müşterinin kişisel verilerinin işlenme amacının bankacılık ve diğer işlemlerin yürütülmesi olması, içermek:

  1. Banka hesaplarının açılması ve bakımı.
  2. Çeviri peşin banka hesaplarında.
  3. Bir banka hesabı açmadan bireylerden - bireylerden ve tüzel kişilerden fon transferi.
  4. Döviz alım satımı.
  5. Bir e-posta adresi de dahil olmak üzere danışmanlık ve bilgi hizmetleri sağlamak.

Tıbbi organizasyon

Tıbbi organizasyon "Sağlık". İşleme amacı:

  • Tıbbi bakımın organizasyonu.
  • Tercihli reçetelerin yayınlanması.
  • Zorunlu sağlık sigortası ve gönüllü sağlık sigortası sisteminde faturaların ödenmesi.
  • İstatistik ve araştırma çalışmaları için kullanın.
  • Test sonuçları, devam eden promosyonlar ve uzmanların çalışma programları hakkında SMS bildirimleri ile bilgilendirme.

Çözüm

Bir müşteri veya hastayla ilgili her şey ilk bakışta göründüğü kadar basit değildir. Aynı şekilde, rıza ve uyarı olmaksızın üçüncü kişilere devredilemez veya konunun kabul etmediği amaçlarla kullanılamaz. Bir kişi kişisel verilerinin sızdırıldığı gerçeğiyle karşı karşıya kalırsa, her zaman Roskomnadzor'a veya mahkemeye başvurabilir.

Sorunuzun cevabını bulamadınız mı? Anlamak Sorununuzu tam olarak nasıl çözebilirsiniz - hemen arayın: