Der Umgang mit personenbezogenen Daten bringt für den Betreiber eine Reihe von Pflichten mit sich. Schauen wir uns einige der wichtigsten davon an.

Benachrichtigen Sie Roskomnadzor über den Beginn der Verarbeitung personenbezogener Daten (). Diese Mitteilung muss vor Beginn der Datenverarbeitung an die Agentur gesendet werden und darin Folgendes angeben:

• Name (vollständiger Name), Anschrift des Betreibers;
• Zweck der Verarbeitung personenbezogener Daten;
• Kategorien personenbezogener Daten;
• Kategorien von Personen, deren personenbezogene Daten verarbeitet werden;
• Rechtsgrundlage für die Verarbeitung personenbezogener Daten;
• Liste der Aktionen mit personenbezogenen Daten, allgemeine Beschreibung Methoden des Betreibers zur Verarbeitung personenbezogener Daten;
• Maßnahmen zum Schutz personenbezogener Daten;
• Vollständiger Name der natürlichen Person oder Name der juristischen Person, die für die Organisation der Verarbeitung personenbezogener Daten verantwortlich ist, sowie deren Kontakttelefonnummern, Postanschriften und Adressen Email;
• Datum des Beginns der Verarbeitung personenbezogener Daten;
• Begriff oder Bedingung für die Beendigung der Verarbeitung personenbezogener Daten;
• Daten über das Vorliegen oder Fehlen einer grenzüberschreitenden Übermittlung personenbezogener Daten während ihrer Verarbeitung;
• Informationen über den Standort der Informationsdatenbank mit personenbezogenen Daten von Russen;
• Informationen zur Gewährleistung der Sicherheit personenbezogener Daten gemäß den von der Regierung der Russischen Föderation festgelegten Anforderungen zum Schutz personenbezogener Daten (wir sprechen insbesondere über personenbezogene Daten, die von Sicherheitsbedrohungen abhängig sind, personenbezogene Daten, deren Ausführung gewährleistet festgelegte Schutzniveaus für personenbezogene Daten sowie Technologien zur Speicherung dieser Daten außerhalb von Informationssystemen für personenbezogene Daten.

Gleichzeitig gibt es Situationen, in denen es nicht erforderlich ist, Roskomnadzor über die Verarbeitung personenbezogener Daten zu informieren. Dies ist beispielsweise die Verarbeitung von Arbeitnehmerdaten durch den Arbeitgeber, die Entgegennahme der Daten des Kunden durch den Betreiber beim Abschluss eines Vertrages mit ihm (sofern diese Informationen nicht ohne Zustimmung des Betroffenen an Dritte weitergegeben und ausschließlich verwendet werden). für die Ausführung der angegebenen Vereinbarung), die Verarbeitung öffentlich zugänglicher personenbezogener Daten, die Ausstellung eines einmaligen Passierscheins an eine Person im Hoheitsgebiet des Betreibers, wobei nur der vollständige Name des Subjekts verwendet wird usw. ().

Stellen Sie die Vertraulichkeit personenbezogener Daten sicher. Dies bedeutet, dass sie nicht ohne Zustimmung des Betroffenen verbreitet werden dürfen (). Diese Verantwortung von Personen, die Zugriff auf personenbezogene Daten haben, ist eine der Hauptaufgaben. Insbesondere ist der Arbeitgeber bei der Übermittlung personenbezogener Daten von Arbeitnehmern verpflichtet:

• Geben Sie die personenbezogenen Daten des Arbeitnehmers nicht ohne dessen schriftliche Zustimmung an Dritte weiter (außer in den Fällen, in denen dies erforderlich ist, um eine Gefahr für Leben und Gesundheit des Arbeitnehmers abzuwenden, und in anderen gesetzlich vorgesehenen Fällen – z. B. bei der Übermittlung von Daten an die Sozialversicherungskasse, die Pensionskasse der Russischen Föderation, Steuerbehörden, Militärkommissariate, Staatsanwaltschaften, Strafverfolgungsbehörden, GIT usw.);
• Weisen Sie Personen, die personenbezogene Daten des Arbeitnehmers erhalten, darauf hin, dass diese Informationen nur für die Zwecke verwendet werden dürfen, für die sie mitgeteilt wurden. Darüber hinaus kann der Arbeitgeber von diesen Personen sogar eine Bestätigung verlangen, dass diese Regel eingehalten wurde.
• die personenbezogenen Daten des Arbeitnehmers innerhalb einer Organisation von einem einzelnen Unternehmer gemäß einem örtlichen Regulierungsgesetz übertragen, mit dem der Arbeitnehmer durch Unterschrift vertraut gemacht werden muss;
• den Zugriff auf personenbezogene Daten von Mitarbeitern nur besonders autorisierten Personen gestatten, und diese sollten das Recht haben, nur diejenigen Mitarbeiterdaten zu erhalten, die für die Wahrnehmung bestimmter Funktionen erforderlich sind;
• keine Informationen über den Gesundheitszustand des Mitarbeiters anfordern, mit Ausnahme von Informationen, die sich auf die Frage der Fähigkeit des Mitarbeiters zur Ausübung einer Arbeitsfunktion beziehen;
• Beschränken Sie die an Arbeitnehmervertreter übermittelten Informationen nur auf diejenigen Arbeitnehmerdaten, die für die Wahrnehmung ihrer Aufgaben durch die Arbeitnehmervertreter erforderlich sind ().

Ergreifen Sie Maßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten (). Zu diesem Zweck sollte die Organisation eine Person benennen, die für die Organisation der Verarbeitung personenbezogener Daten verantwortlich ist (). Eine solche Person ist verpflichtet, eine interne Kontrolle über die Einhaltung der Anforderungen zum Schutz personenbezogener Daten durch den Betreiber und seine Mitarbeiter auszuüben, die Mitarbeiter auf die Bestimmungen und örtlichen Vorschriften zur Verarbeitung personenbezogener Daten aufmerksam zu machen und diese zu organisieren Empfang und Bearbeitung von Anfragen und Anfragen von Personen mit personenbezogenen Daten. Darüber hinaus sollten zu den gleichen Zwecken technische Maßnahmen ergriffen werden, um die Sicherheit der Verarbeitung zu gewährleisten, sowie Dokumente herausgegeben werden, in denen die Richtlinien des Unternehmens hinsichtlich der Verarbeitung personenbezogener Daten usw. festgelegt sind.

Gleichzeitig muss die Organisation ihre Richtlinien zur Verarbeitung personenbezogener Daten veröffentlichen (). Am besten veröffentlichen Sie das Dokument auf der Website des Betreibers. In Fällen, in denen dies jedoch nicht möglich ist, reicht es aus, an einem für Besucher der Organisation zugänglichen Ort eine „Tasche“ mit der Richtlinie auf Papier anzubringen. Eine Ausnahme bilden Betreiber, die personenbezogene Daten direkt über das Internet sammeln – sie müssen die Richtlinie auf der Website veröffentlichen und die Möglichkeit bieten, auf das angegebene Dokument zuzugreifen. Auf der offiziellen Website von Roskomnadzor finden Sie Empfehlungen zur Erstellung einer Richtlinie zur Verarbeitung personenbezogener Daten.

Verwechseln Sie die Richtlinie, die hauptsächlich für Dritte (Gegenparteien, Kunden usw.) gilt, nicht mit den Vorschriften zum Schutz, zur Speicherung, Verarbeitung und Übermittlung personenbezogener Daten von Mitarbeitern – dieses Dokument ist im Gegensatz zur Richtlinie eine lokale Regelung Gesetz, daher sollte es nicht öffentlich gemacht werden, es ist jedoch zwingend erforderlich, die Mitarbeiter gegen Unterschrift damit vertraut zu machen ().

MATERIALIEN ZUM THEMA

Lesen Sie in unserem Material „“, auf welche Probleme ein Betreiber bei der Einhaltung der Anforderungen zur Lokalisierung personenbezogener Daten stoßen kann und wie er diese am effektivsten lösen kann.

Erfüllen Sie die Anforderungen zur Lokalisierung personenbezogener Daten von Russen. Ab dem 1. September 2015 sind alle Betreiber bei der Erhebung personenbezogener Daten verpflichtet, deren Verarbeitung mithilfe von Datenbanken in Russland sicherzustellen (). Die sogenannte Lokalisierung personenbezogener Daten stieß zunächst auf große Resonanz bei Fachleuten und Betreibern – die Anforderungen des Gesetzes waren so formuliert, dass bei Experten große Bedenken bestanden. Dazu gehört die Unklarheit darüber, welche personenbezogenen Daten dieser Anforderung unterliegen, welche Betreiber betroffen sind, ob die gleichzeitige Verarbeitung personenbezogener Daten auf russischen und ausländischen Servern zulässig ist, wie die Staatsbürgerschaft der betroffenen Person festgestellt werden kann usw. Roskomnadzor beantwortete die meisten dieser Fragen bereits vor Inkrafttreten neuer gesetzlicher Anforderungen. Beispielsweise hat die Behörde den Betreibern das Recht eingeräumt, unabhängig über die Frage der Feststellung der Staatsbürgerschaft der Person zu entscheiden, deren Daten verarbeitet werden, oder die Lokalisierungspflicht auf die personenbezogenen Daten aller Subjekte anzuwenden. Darüber hinaus stellte Roskomnadzor klar, dass in dem Fall, in dem personenbezogene Daten erfasst wurden Russische Basis Daten können später in einer elektronischen Datenbank außerhalb des Landes verarbeitet werden.

Sowohl in der Richtlinie zur Verarbeitung personenbezogener Daten als auch in der Verordnung über den Schutz, die Speicherung, die Verarbeitung und die Übermittlung personenbezogener Daten von Arbeitnehmern sollte angegeben werden, dass sich der Betreiber bei der Erhebung personenbezogener Daten verpflichtet, für die Erfassung, Systematisierung, Sammlung, Speicherung und Klärung zu sorgen (Aktualisierung, Änderung), Abfrage personenbezogener Daten von Russen mithilfe von Datenbanken, die sich auf dem Territorium Russlands befinden, und Angabe des Standorts einer solchen Datenbank.

Stellen Sie die Verarbeitung personenbezogener Daten rechtzeitig ein. Wenn der Zweck der Verarbeitung personenbezogener Daten erreicht ist oder die betroffene Person ihre Einwilligung zu deren Verarbeitung widerrufen hat, muss der Betreiber die Verarbeitung dieser Daten einstellen und sie innerhalb von 30 Tagen löschen, sofern in der Vereinbarung keine andere Frist festgelegt ist ().

Die Aktivitäten einer Organisation beinhalten zwangsläufig die Verarbeitung personenbezogener Daten in einem Informationssystem (ISPD). Jedes Unternehmen, das vertrauliche Informationen über Mitarbeiter, Kunden, Partner und andere Personen verwendet, muss sich als Betreiber personenbezogener Daten registrieren.

Verfahren zur Speicherung und zum Schutz personenbezogener Daten

Die Organisation des Schutzes vertraulicher Informationen erfolgt in mehreren Schritten:

• Untersuchung erste Arbeit zur Verarbeitung personenbezogener Daten (Überarbeitung des lokalen Regulierungsrahmens, Analyse der Informationsflüsse von PD und ISPD im Allgemeinen, Identifizierung von Mängeln und Bedrohungen der Sicherheit des Informationssystems, Unterbreitung von Vorschlägen zur Behebung von Mängeln, Verbesserung der Systeme zum Schutz personenbezogener Daten) .
• Entwicklung eines Regulierungsrahmens für den Schutz personenbezogener Daten. Diese Phase umfasst die Einstufung als ISPD und die Registrierung als Betreiber personenbezogener Daten in Roskomnadzor.
• Entwurf eines Systems zum Schutz personenbezogener Daten – Auswahl von Methoden, Maßnahmen und Klassen von Mitteln zum Schutz personenbezogener Daten, Entwicklung technische Dokumentation für die Schaffung eines Informationsschutzsystems sowie die Entwicklung spezifischer Maßnahmen zum Schutz von Informationen in jedem spezifischen Informationssystem.
• Implementierung von PDPD – Inbetriebnahme von PD-Schutzsystemen und Konfiguration bestehender ISPD-Schutzsysteme.
• Beurteilung der Konformität mit der ISPD, im Rahmen derer Evaluierungsprüfungen der ISPD durchgeführt und das entsprechende Zertifikat ausgestellt wird.

Die Registrierung als Betreiber personenbezogener Daten im Roskomnadzor-Register ist Teil des Gesamtprozesses zur Organisation der Verarbeitung und des Schutzes personenbezogener Daten.

Phasen der Registrierung eines ISPDn-Betreibers in Roskomnadzor

Die Registrierung eines ISPDn-Betreibers umfasst die folgenden Schritte:

• Entwicklung und Verabschiedung eines Rechtsrahmens für die Verarbeitung und den Schutz personenbezogener Daten.
• Ausfüllen des Benachrichtigungsformulars über die Absicht, personenbezogene Daten auf der Website der Gebietskörperschaft Roskomnadzor zu verarbeiten.
• Senden einer Benachrichtigung an das Informationssystem der autorisierten Stelle zum Schutz der Rechte personenbezogener Datensubjekte.
• Drucken Sie das ausgefüllte Formular mit Unterschriften aus.
• Senden eines gedruckten Formulars der Benachrichtigung an die zuständige Gebietskörperschaft von Roskomnadzor am Ort der Registrierung des Betreibers.

Wir laden Sie ein, über unseren Online-Service die für die Registrierung als Verantwortlicher für personenbezogene Daten erforderlichen Unterlagen vorzubereiten. Diese Seite enthält Gesetze, Anweisungen, Vorschriften, Zeitschriften, Bekanntmachungen und andere Dokumente.

Wird oft mit diesem Muster verwendet: Informationsschreiben zur Änderung der Angaben im Register der Betreiber, die personenbezogene Daten verarbeiten Einwilligung zur Weitergabe personenbezogener Daten an Dritte Liste der personenbezogenen Daten, die im ISPDn geschützt werden Schutz personenbezogener Daten in Bildungseinrichtungen

Beliebte Dokumente und Verfahren:

Registrierung eines Betreibers personenbezogener Daten für den internen Gebrauch

Punkt 4 – jede juristische Person muss dies tun. Person oder Einzelunternehmer, wenn es um die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden geht?

Wir sind ein Unternehmen, das ein System geschaffen hat und diskutiert, in dem die personenbezogenen Daten der Kunden des Kunden vorhanden sind. Eine Reihe dieser Dokumente ist für uns nicht geeignet. Es ist geeigneter, wenn der Arbeitgeber die Daten seiner Mitarbeiter verarbeitet, aber das Das Gleiche stimmt nicht ganz.

Guten Tag! Ich habe ein paar Fragen zum Einrichten von Vorlagen. 1) Bitte sagen Sie mir, wie ich ISPD-Systemvorlagen konfigurieren soll, um das System unter aktuelle Bedrohungen vom Typ 1 und die Notwendigkeit, die 1. Sicherheitsstufe zu gewährleisten, einzustufen. Sind in diesem Fall die vorgeschlagenen Vorlagen miteinander konsistent? 2.) Ist es möglich, alle Systemdokumente (28 Dokumente) mit den ursprünglich eingegebenen Daten (Name der juristischen Person, Kategorie personenbezogener Daten) vorab auszufüllen oder müssen diese jedes Mal beim Ausfüllen eines separaten Systemdokuments eingegeben werden? ?

Bitte geben Sie an, welches Mindestmaß an PD-Sicherheit auf der Grundlage Ihrer Vorlagen erstellt werden kann. (Wir sind daran interessiert, die Kosten für das System zu minimieren. Es werden personenbezogene Daten von Mitarbeitern und Auftragnehmern verarbeitet. Besondere Kategorien personenbezogener Daten und biometrische Daten verarbeiten wir nicht.)

Guten Tag! Wir sind daran interessiert, den Mechanismus zur Pflege und Aufzeichnung von Aufgaben im Rahmen der Arbeitsverantwortung unserer Mitarbeiter durch die Registrierung eines Kontos zu nutzen ( persönliches Konto) mit dem Namen des Mitarbeiters (Benutzername) und der Angabe einer eindeutigen Kennung (Login) und eines Passworts für diesen Eintrag, wie in Ihrer Vorlage „Bestimmungen zum geistigen Eigentum“, Abschnitt 6.2, empfohlen. Gleichzeitig besagt Abschnitt 6.4 der genannten Bestimmungen zum Schutz des geistigen Eigentums, dass alle Unternehmens-E-Mail-Adressen und alle Logins oder Benutzernamen in den Softwaretools in einem speziellen internen Dokument angegeben werden, das vom Generaldirektor des Unternehmens genehmigt, aktualisiert und bereitgestellt wird allen Mitarbeitern des Unternehmens bei Bedarf zur Kenntnis gebracht werden. Notwendigkeit, d.h. die Daten werden an andere Personen weitergegeben. Bitte klären Sie folgende Fragen: 1.) ob es sich bei den Daten um personenbezogene Daten handelt (und wenn ja, um welche Kategorie), Konto(persönliches Konto) mit dem Namen des Mitarbeiters (Benutzername) und einer eindeutigen Kennung (Login) und Passwort des Mitarbeiters internes System Betreiber, E-Mail-Adresse des Mitarbeiters im internen System des Betreibers? 2.) Wenn es sich bei diesen Daten um personenbezogene Daten handelt, gibt es dann bestimmte Funktionen für deren Verwendung in Ihren ISPD-Vorlagen (wäre dies mit der Notwendigkeit verbunden, kryptografische Schutztools usw. zu erwerben)?

Guten Tag! Laut Gesetz besteht keine Notwendigkeit, die Aufsichtsbehörde zu benachrichtigen, wenn personenbezogene Daten verarbeitet werden, die im Einklang mit dem Arbeitsrecht verarbeitet werden. Was ist mit Kandidaten, die nicht eingestellt werden? Ihre Daten bleiben bestehen. Haben wir das Recht, sie ohne Benachrichtigung der Aufsichtsbehörde zu speichern? Beispielsweise wenn der Kandidat die Probezeit nicht bestanden hat (hier liegt ein offensichtliches Arbeitsverhältnis vor). Oder durfte er zum Beispiel gar nicht erst an der Prüfung teilnehmen? Wir brauchen diese Daten heute einfach nicht, aber morgen haben wir ein Profil erstellt, eine Person eingeladen und eingestellt. Ist dies die Bestimmung von Artikel 86 des Arbeitsgesetzbuchs in dem Teil „Die Verarbeitung personenbezogener Daten eines Arbeitnehmers darf ausschließlich zum Zweck der Einhaltung von Gesetzen und anderen Vorschriften sowie zur Unterstützung der Arbeitnehmer bei der Arbeitssuche erfolgen“ und kann dementsprechend auch ohne Wissen der Aufsichtsbehörde durchgeführt werden?

Guten Tag. Ist das Paket der Datenverarbeitungsdokumente für Mitarbeiter oder Auftragnehmer konzipiert?

Müssen Sie Dokumente online ausfüllen oder nach dem Herunterladen nur in WORD?

Guten Tag! Wenn Sie personenbezogene Daten Ihrer Mitarbeiter oder Kunden verarbeiten, ist deren Schutz unerlässlich. Es ist notwendig, die korrekten lokalen Vorschriften zu entwickeln, die im Verfahren dargestellt werden, sowie technische und organisatorische Maßnahmen vorzusehen, wenn die Verarbeitung automatisiert oder teilweise automatisiert erfolgt. Die einzige Ausnahme betrifft die Übermittlung einer Meldung an Roskomnadzor zur Registrierung als Betreiber personenbezogener Daten. Alle diese Ausnahmen sind in Artikel 22 Absatz 2 von 152-FZ vorgeschrieben. Die häufigsten Ausnahmen sind die Verarbeitung personenbezogener Daten von Mitarbeitern im Rahmen des Arbeitsrechts, die Verarbeitung personenbezogener Daten von Kunden im Rahmen der Vertragsabwicklung (z. B. um Waren an einen Kunden zu liefern, müssen Sie seine Adresse und Passdaten kennen).

Guten Tag! Gemäß Absatz 2 der Kunst. Gemäß Art. 3 des Gesetzes Nr. 152-FZ bedeutet der Betreiber personenbezogener Daten insbesondere: juristische Person, unabhängig oder gemeinsam mit anderen Personen, die die Verarbeitung personenbezogener Daten organisieren und (oder) durchführen. Unter Verarbeitung personenbezogener Daten versteht man jede Aktion (Vorgang) oder Reihe von Aktionen (Vorgängen), die mithilfe von Automatisierungstools oder ohne Verwendung solcher Tools mit personenbezogenen Daten durchgeführt wird, einschließlich Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Nutzung, Übertragung (Verbreitung, Bereitstellung, Zugriff), Depersonalisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten (Artikel 3 Absatz 3 des Gesetzes Nr. 152-FZ). Wenn Sie also Arbeiten zur Pflege der Website durchführen , führen Sie eine oder mehrere der oben aufgeführten Handlungen oder eine Kombination davon aus – laut Gesetz sind Sie der Betreiber personenbezogener Daten mit allen sich daraus ergebenden Verantwortlichkeiten. Das Gesetz sieht keine Ausnahmen für diejenigen Betreiber vor, die personenbezogene Daten nicht direkt von den betroffenen Personen erhoben, sondern personenbezogene Daten von einem anderen Betreiber erhalten haben. Betreiber – derjenige, der die Verarbeitung durchführt, d. h. jede Person, die mindestens eine der in Art. genannten Maßnahmen durchführt. 3 Bundesgesetz Nr. 152 Klagen mit PD. Und in diesem Fall empfehlen wir Ihnen, dem Verfahren zu folgen: http://www..Vielen Dank, dass Sie den Dienst nutzen!

Guten Tag! Sie müssen die Fragen im Fragebogen auf der linken Seite der Seite beantworten – ein Paket mit den erforderlichen Dokumenten wird automatisch generiert. Wenn der in einem Dokument eingegebene Wert mit einem anderen Dokument im allgemeinen Paket identisch ist, wird er automatisch in dieses Dokument eingetragen. Dokumentvorlagen eignen sich zur Gewährleistung der 1. Stufe der Sicherheit personenbezogener Daten. Wir machen Sie darauf aufmerksam, dass neben der Erstellung der Dokumentation auch die Entwicklung und Umsetzung technischer Schutzmaßnahmen erforderlich ist. Die Zusammensetzung und der Inhalt solcher „grundlegender“ Maßnahmen sind in der FSTEC-Verordnung Nr. 21 vom 18. Februar 2013 „Über die Genehmigung der Zusammensetzung und des Inhalts von Organisations- und …“ festgelegt technische Maßnahmen um die Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten zu gewährleisten.“ Vielen Dank, dass Sie unseren Service nutzen!

siehe Antwort unten

Hallo! Personenbezogene Daten sind alle Informationen, die eine genaue Identifizierung einer Person ermöglichen (im Sinne des Bundesgesetzes Nr. 152-FZ vom 27. Juli 2006 „Über personenbezogene Daten“). In diesem Fall handelt es sich bei individuellen Firmen-E-Mail-Adressen und Logins bzw. Benutzernamen um personenbezogene Daten von Arbeitnehmern, die für den Arbeitgeber im Zusammenhang mit Arbeitsverhältnissen erforderlich sind, was für sich genommen nicht die konkrete Anwendung einer besonderen Schutzregelung nach sich zieht (vorbehaltlich der Einhaltung der Anforderungen gemäß Kapitel 14 des Arbeitsgesetzbuchs der Russischen Föderation). Wir empfehlen Ihnen, sich mit dem Verfahren unter folgendem Link vertraut zu machen: http://www. Vielen Dank, dass Sie unseren Service nutzen!

Guten Tag. Der Arbeitgeber hat das Recht, ohne Benachrichtigung von Roskomnadzor personenbezogene Daten von Bewerbern für Stellen zu verarbeiten, ihre Lebensläufe zu speichern und sowohl Papier- als auch Lebensläufe zu erstellen elektronische Datenbank Bewerber, sofern sie über deren schriftliche Einwilligung verfügen. Diese Schlussfolgerung basierend auf der Tatsache, dass gemäß Satz 1, Teil 2, Kunst. Gemäß Art. 22 des Bundesgesetzes vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ dürfen arbeitsrechtlich verarbeitete Daten ohne Benachrichtigung der zuständigen Stelle verarbeitet werden. Personenbezogene Daten von Bewerbern können in der Datenbank der gespeichert werden Arbeitgeber, sofern dies schriftlich erfolgt, ist die Einwilligung des Bewerbers unter Angabe der Dauer der Speicherung gegeben. Was ehemalige Arbeitnehmer betrifft (d. h. diejenigen, die die Prüfung nicht bestanden haben), sind wir der Meinung, dass eine solche Verarbeitung erfolgen sollte, wenn das Arbeitsgesetzbuch der Russischen Föderation oder andere Gesetze dem Arbeitgeber keine Verpflichtung zur Verarbeitung der Daten ehemaliger Arbeitnehmer auferlegen erfolgt nur mit Benachrichtigung von Roskomnadzor (es sei denn, es liegen andere Gründe für die Verarbeitung personenbezogener Daten ohne Einreichung von Benachrichtigungen vor, z. B. die Verarbeitung personenbezogener Daten ohne den Einsatz von Automatisierungstools). Wir empfehlen Ihnen, diesen Sachverhalt mit der zuständigen Stelle zu klären. Vielen Dank für die Anfrage.

22 Artikel 152-FZ gelesen. Da wir aber nicht mit allen Bewerbern, deren personenbezogene Daten wir erheben, ein Beschäftigungsverhältnis eingehen (wir nehmen sie zum Testen auf oder laden sie zumindest zu Vorstellungsgesprächen ein), ist Roskomnadzor in diesem Fall dennoch meldepflichtig

Guten Tag. Die Verarbeitung personenbezogener Daten von Bewerbern erfolgt auch im Rahmen des Arbeitsrechts. Nach Ansicht des Vierten Berufungsgerichts ist die in Teil 2 Absatz 1 der Kunst vorgesehene Grundlage. 22 des Bundesgesetzes Nr. 152-FZ vom 27. Juli 2006 „Über personenbezogene Daten“ gilt auch für Personalauswahlaktivitäten (Beschluss Nr. 04AP-127/2018 vom 7. Februar 2018 in der Sache Nr. A19-17054/2017). Dies liegt daran, dass das Arbeitsrecht nicht nur durch das Arbeitsgesetzbuch der Russischen Föderation, sondern auch durch andere Vorschriften geregelt wird. So sieht das Bundesgesetz Nr. 1032-1 vom 19. April 1991 „Über die Beschäftigung in der Russischen Föderation“ vor, dass Arbeitgeber die Beschäftigungspolitik insbesondere durch Beschäftigung fördern. Wir glauben, dass die schriftliche Einwilligung des Bewerbers zur Speicherung bestimmter seiner Daten für den in der Einwilligung genannten Zeitraum ausreicht, um den gesetzlichen Bestimmungen in diesem Bereich nachzukommen. Es besteht keine Notwendigkeit, Roskomnadzor zu benachrichtigen. Um Streitigkeiten zu vermeiden, empfehlen wir Ihnen jedoch, diese Frage mit der zuständigen Stelle zu klären. Vielen Dank für die Anfrage.

Danke! Ich habe die Gerichtsentscheidung gelesen. Das ist eine knifflige Frage. Diese Gerichtsentscheidung legt nahe, dass Roskomnadzor die Position hat, zu benachrichtigen, aber die Verwaltung der Region Irkutsk hat sich zusammen mit der Berufung auf die Seite der juristischen Person gestellt. Angesichts der bekannten Position von Roskomnadzor ist nicht bekannt, ob die AS unserer Region auf unserer Seite stehen wird. Deshalb haben wir einen Brief mit einer Frage geschickt.

Guten Tag. Danke für Ihre Antwort. Es wäre interessant und nützlich, das Ergebnis Ihrer Nachricht auf unserer Diskussionsseite zu sehen. Mit freundlichen Grüßen, Firma FreshDoc.

Ich werde auf jeden Fall posten, wie sie reagieren! Ihr Rat hat mir sehr dabei geholfen, eine rechtliche Position zu diesem Thema zu entwickeln)

Schrieb. Was glauben Sie, was sie geantwortet haben? Nichts! Das heißt natürlich, antworteten sie, aber um nichts. Der Kern des Schreibens besteht darin, dass es Ihnen überlassen bleibt, eine Mitteilung einzureichen oder nicht. Ich wollte sicherstellen, dass ich im Falle einer Überprüfung ihre Antwort hatte, aber es hat nicht geklappt. Und sich hinter einer Gerichtsentscheidung in einer anderen Region zu verstecken ... Wir haben noch kein Angelsächsisches Rechtsordnung, und das kontinentale, und für mich ist die wichtigste Schlussfolgerung aus der Begründung der Gerichtsentscheidung die Vision von Roskomnadzor, und ob unser Regionalgericht wie in Irkutsk auf unserer Seite stehen wird, ist unbekannt

Guten Tag. Vielen Dank für Ihre Antwort. Das Vorliegen einer Antwort von Roskomnadzor ist kein garantierter Schutz vor Strafverfolgung. Für das Gericht ist auch die Meinung des Ressorts, wie immer sie auch sein mag, nicht ausschlaggebend. Wir empfehlen Ihnen, sich eine eigene begründete Meinung zu bilden und nach Möglichkeit eine dem Fall angemessene richterliche Entscheidung herbeizuführen. Mit freundlichen Grüßen, Firma FreshDoc.

In jedem Fall muss jeder Betreiber, unabhängig davon, ob eine Meldung vorliegt oder nicht, bei der Verarbeitung personenbezogener Daten die Anforderungen der Artikel 18.1 und 19 des Bundesgesetzes Nr. 152 einhalten: Ernennung einer verantwortlichen Person, Entwicklung und Genehmigung einer Richtlinie und Regelung zu personenbezogenen Daten , usw. Darüber hinaus führt Roskomnadzor geplante Inspektionen bei allen Betreibern durch und nicht nur bei denjenigen, die gemäß der Mitteilung im Roskomnadzor-Register eingetragen sind

Guten Tag. Ja, es liegt in der Verantwortung des PD-Betreibers, die erforderlichen und ausreichenden Maßnahmen zu ergreifen, um die Erfüllung der im Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ vorgesehenen Verpflichtungen sicherzustellen, unabhängig von deren Vorhandensein/ Abwesenheit im Betreiberregister (Senden einer Benachrichtigung an Roskomnadzor). Gleichzeitig, um die Anforderungen gemäß Art. zu erfüllen. 22 Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ ist der Betreiber verpflichtet, Roskomnadzor vor Beginn der Verarbeitung personenbezogener Daten über seine Absicht zur Verarbeitung personenbezogener Daten zu informieren, andernfalls droht ihm eine Geldstrafe gemäß Art . 19.7 Ordnungswidrigkeitengesetz der Russischen Föderation.

Guten Tag. Der Umfang der personenbezogenen Daten ist im Abschnitt 3 „Im ISPD verarbeitete personenbezogene Daten“ der Verordnung über die Verarbeitung und den Schutz personenbezogener Daten festgelegt, der im Dokumentenpaket enthalten ist und unter dem Link https:// abgerufen werden kann. www.site/?oid=7086347. Darin wird insbesondere festgelegt, dass die Daten folgender Personen verarbeitet werden: Mitarbeiter des Betreibers; Gesellschafter/Gründer des Betreibers, mit Mitarbeitern verbundene Personen, Gesellschafter, Gründer (Kinder, für die Unterhalt gezahlt wird, Ehefrauen usw.); Kunden (Verbraucher der Dienste des Betreibers); Einzelunternehmer – Gegenparteien des Betreibers; Kunden von Organisationen, Gegenparteien des Betreibers (Dienstleistung Firmenkunden). Das wurde auch festgestellt diese Liste kann überarbeitet werden. Vielen Dank, dass Sie sich gemeldet haben.

Die Unterlagen können Sie direkt auf der Website ausfüllen.

Seit der Verabschiedung des Bundesgesetzes „Über personenbezogene Daten“ im Jahr 2006 sind einige seiner Bestimmungen und Konzepte für Mitarbeiter von Betreibern immer noch unklar. Die scheinbare Mehrdeutigkeit des Wortlauts wird manchmal zum Gegenstand von Spekulationen für einzelne aktive Bürger, die es sich zum Ziel gesetzt haben, die Absurdität oder Widersprüchlichkeit des Gesetzes zu beweisen.

Durch die Manipulation einiger Formulierungen des Gesetzes (manchmal aus dem Kontext gerissen) und unter Berufung auf die Prinzipien der formalen Logik (was nicht immer fair ist). wir reden überüber das Recht als Wissenschaft), die Modellierung möglicher Konflikte, kommen einige Analysten zu unerwarteten und falschen Schlussfolgerungen.

Die Gefahr dieser Schlussfolgerungen liegt in der Desorientierung der Teilnehmer an informationsrechtlichen Beziehungen sowie in der Tatsache, dass die Annahme zweifelhafter Aussagen die Arbeit der Betreiber behindert, ihre Aktivitäten in Einklang mit dem Gesetz zu bringen, und Bedingungen schafft, die es ihnen ermöglichen, gegen das Gesetz zu verstoßen Anforderungen des Gesetzes.

Zu diesen problematischen Fragen gehört die Definition des Betreibers personenbezogener Daten. Ein Betreiber ist ein Staat, eine kommunale Körperschaft, eine juristische Person oder eine natürliche Person, die die Verarbeitung personenbezogener Daten organisiert und (oder) durchführt sowie die Zwecke und den Inhalt der Verarbeitung personenbezogener Daten bestimmt (Artikel 3 des Bundesgesetzes 152). . Diese scheinbar offensichtliche Definition, die keine freie Interpretation zulässt, führt in der Praxis manchmal zu einer Irreführung der Betreiber. Der Kern dieses Missverständnisses lautet: „Die Person, die die Verarbeitung durchführt, ist nicht immer der Betreiber.“ Der Grund für das Missverständnis liegt in der Formulierung „und auch“. In diesem „und auch“ sehen einige den wahren Kern der Wahrheit, der es einzelnen Betreibern ermöglicht, sich der Verpflichtung zur Einhaltung der Anforderungen des Bundesgesetzes 152 zu entziehen. Paradoxerweise sind viele Betreiber immer noch davon überzeugt, dass sie keine Betreiber sind. Um diese Aussage zu untermauern, werden folgende Argumente angeführt: Die Notwendigkeit der Verarbeitung personenbezogener Daten wird durch Bundesgesetz bestimmt (oder „von höheren Organisationen festgelegt“), daher werden die Zwecke der Verarbeitung nicht unabhängig bestimmt oder sollten nicht von der Person bestimmt werden Durchführung der Verarbeitung (es besteht keine Notwendigkeit, die Zwecke zu bestimmen, oder es besteht keine Befugnis).

Versuchen wir, dieses Problem herauszufinden, dessen Kern in der Frage liegt: Ist die Bestimmung des Zwecks der Verarbeitung personenbezogener Daten ein Zeichen oder eine Verantwortung des Betreibers?

Es besteht daher die Meinung, dass ein Betreiber nur und ausschließlich jemand ist, der gleichzeitig die folgenden zwei Kriterien erfüllt:
Diese Person muss die Verarbeitung personenbezogener Daten entweder organisieren oder tatsächlich durchführen (oder beides gleichzeitig);
Diese Person muss die Zwecke und den Inhalt der Verarbeitung personenbezogener Daten selbstständig bestimmen.

Daher wird die Anforderung, den Zweck der Verarbeitung personenbezogener Daten zu bestimmen, als Hauptmerkmal des Betreibers angesehen.

Im Zuge der Erstellung dieses Artikels führten Philologen eine sprachwissenschaftliche Analyse der betreffenden Definition durch. Die Ergebnisse der Analyse sind unten aufgeführt.

Die Zielbestimmung kann nicht die Hauptfunktion sein, da diese Funktion unter homogenen Satzgliedern benannt wird und diesen abschließt. Darüber hinaus wird diesem homogenen Satzglied die Konjunktion „und auch“ hinzugefügt, die eine adjunktive Bedeutung hat, zum Beispiel: Ich habe meine Arbeit, meinen Erfolg, meinen Ruhm sowie die Werke und Erfolge meiner Freunde in Frieden genossen“ (S ). - siehe Valgina N.S., Rosenthal D.E., Fomina M.N. Moderne russische Sprache. Lehrbuch.: M., Logos, 2006.

Über diese Bedeutung schreibt auch die russische Grammatik (M, 1980, Bd. II):

§ 2079. Konnektive Beziehungen basieren auf verbindenden Beziehungen: Das zweite Mitglied der Reihe ist zusätzlicher Natur; es wird oft in ein separates Syntagma aufgeteilt; Die Reihenfolge der Mitglieder der Serie ist unbedingt erforderlich. Konnektive Beziehungen (mit Nuancen der Addition oder Steigerung) werden durch zusammengesetzte Konjunktionen und Kombinationen einer Konjunktion mit einem Konkretisierer ausgedrückt: und auch, und auch, und darüber hinaus (außerdem): In der Kutsche saß eine ältere Dame und sogar ein junges Mädchen (Tyn.); Die Berichte wurden in einwandfreiem Zustand und pünktlich (Gas) geliefert.

Notiz. Konjunktionen und auch beides... und haben die Fähigkeit, abgestufte und verbindende Beziehungen auszudrücken, werden aber oft in einer weiteren Bedeutung verwendet – verbindend oder vergleichend: Diese Schmerle ist ungewöhnlich respektvoll und liebevoll, blickt sowohl auf sich selbst als auch auf Fremde gleichermaßen zärtlich, nutzt aber keinen Kredit (Tschechisch); Das Werk hat ein hohes Maß an Quantität und Qualität der Produkte (Gas) erreicht. Schüler der Musikschule geben häufig Konzerte in Schulen, Kulturzentren sowie in Werkstätten von Unternehmen (Gas).

Aber die zusammen angegebenen Konjunktionen „und (oder)“ bedeuten, dass die Mitglieder einer durch sie verbundenen homogenen Reihe entweder zusammen existieren können („organisieren und durchführen der Verarbeitung“) oder ausgewählt werden können (eines der Reihen: „organisieren oder durchführen“) Verarbeitung“).

Die obige sprachliche Analyse zeigt die Unbegründetheit der Aussage, dass die Bestimmung des Zwecks der Verarbeitung personenbezogener Daten ein unverzichtbares Merkmal des Betreibers sei. Gleichzeitig ist diese Analyse nicht der einzige Beweis für die Falschheit dieser Aussage.

Aus dem Inhalt verschiedener Arten von Veröffentlichungen und auf der Grundlage der sich abzeichnenden Strafverfolgungspraxis kann man Rückschlüsse auf die Haltung der zum Schutz der Rechte personenbezogener Datensubjekte befugten Stelle (im Folgenden Roskomnadzor genannt) gegenüber dem betrachteten Problem ziehen . Roskomnadzor ist der Ansicht, dass der Betreiber derjenige ist, der in erster Linie alle Vorgänge mit personenbezogenen Daten durchführt. Gleichzeitig ist der „Auftragsverarbeiter“ aufgrund der Tatsache der Verarbeitung auch verpflichtet, die Zwecke dieser Verarbeitung festzulegen. Diese. Tatsächlich ist die Bestimmung des Verarbeitungszwecks eher eine Folge der Verarbeitung oder der Notwendigkeit einer solchen, ein integraler Bestandteil der Verarbeitung, die Hauptverantwortung, die sich aus der Verarbeitung personenbezogener Daten ergibt, und nicht „das Hauptmerkmal des Betreibers“.

Die Richtigkeit der geäußerten Meinung wird durch eine systematische Analyse der Normen des Bundesgesetzes Nr. 152 bestätigt. Wir sollten mit Artikel 1 des Gesetzes beginnen, der den Geltungsbereich seines Handelns definiert. In diesem Artikel heißt es, dass das Gesetz die Beziehungen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch verschiedene Körperschaften, juristische Personen und Einzelpersonen regelt. Der Begriff der Verarbeitung ist in Artikel 3 Absatz 3 des Bundesgesetzes 152 festgelegt. Dabei handelt es sich um Handlungen (Vorgänge) mit personenbezogenen Daten, einschließlich Erhebung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Nutzung, Verbreitung (einschließlich Übermittlung). , Depersonalisierung, Sperrung, Vernichtung personenbezogener Daten. Aus dem Vorstehenden folgt, dass eine bestimmte Person, wenn sie eine der aufgeführten Handlungen ausführt, von vornherein Teilnehmer an sozialen Beziehungen wird, die Gegenstand der Regelung durch das Bundesgesetz Nr. 152 sind (es sei denn, sie fällt unter die in vorgesehenen Ausnahmen). Teil 2 von Artikel 1 des Gesetzes). Wie soll diese Person im Sinne des Bundesgesetzes „Über personenbezogene Daten“ heißen? Die Auswahl ist gering. Diese Person sollte als Bediener bezeichnet werden.

Es handelt sich also um eine bestimmte Person, die personenbezogene Daten verarbeitet (oder dies beabsichtigt). Gemäß Artikel 5 des Bundesgesetzes 152 muss die Verarbeitung personenbezogener Daten gemäß den im Gesetz festgelegten Grundsätzen erfolgen. Die Analyse des Inhalts der Grundsätze führt zu dem Schluss, dass grundlegende Grundlage Die Verarbeitung personenbezogener Daten dient der Bestimmung der Zwecke der Verarbeitung. Ohne überhaupt auf das Wesentliche jedes Prinzips einzugehen, sondern einfach nach einer kurzen Lektüre von Artikel 5, sehen wir in jedem Absatz des Artikels den Begriff „Zweck“ („Legitimität von Zwecken“, „Entsprechung zu Zwecken“, „Ausreichend für Zwecke“) ", usw.). Diese Konzentration der Aufmerksamkeit wurde vom Gesetzgeber nicht zufällig vorgenommen. Das Gesetz verlangt von der Person, die personenbezogene Daten verarbeitet, die für den Schutz der Rechte personenbezogener Daten zuständige Stelle über die Zwecke der Verarbeitung personenbezogener Daten zu informieren. Ziel des Gesetzes ist es, die Aktivitäten im Zusammenhang mit der Verarbeitung personenbezogener Daten sowohl für die Person, die Trägerin der durch das Gesetz geschützten verfassungsmäßigen Rechte und Freiheiten ist, als auch für staatliche Stellen, die die Umsetzung von Mechanismen zum Schutz der Menschenrechte als Subjekt gewährleisten, transparent und verständlich zu machen personenbezogener Daten. Der zentrale Punkt des Gesetzes ist die Idee der Unzulässigkeit der „zwecklosen“ Verarbeitung personenbezogener Daten (Verarbeitung personenbezogener Daten „einfach so“, „für eigene, unbestimmte Bedürfnisse“, für „ allgemeine Entwicklung“, „für dich selbst“ usw.).

Gemäß dem zweiten Grundsatz, der in Artikel 5 des Gesetzes festgelegt ist, müssen die Zwecke einer solchen Verarbeitung im Voraus (vor Beginn der Verarbeitung) festgelegt und angegeben werden, wenn eine Person beabsichtigt, personenbezogene Daten zu verarbeiten. Die umgekehrte logische Argumentationskette führt zu dem Schluss, dass die Durchführung jeglicher Handlungen mit personenbezogenen Daten ohne einen bestimmten Verarbeitungszweck einen Verstoß gegen die Grundsätze der Verarbeitung und damit einen Verstoß gegen das Gesetz darstellt, eine Voraussetzung für einen Verstoß die verfassungsmäßigen Rechte und Freiheiten des Menschen und Bürgers.

Auslegung der in Absatz 2 dargelegten Norm. Artikel 3 des Bundesgesetzes 152 führt in dem Zusammenhang, dass die Bestimmung des Ziels nicht in die Verantwortung des Betreibers fällt, sondern ein integrales Merkmal ist, das ihn als solchen identifiziert, zwangsläufig zu der folgenden paradoxen Schlussfolgerung. Vom Geltungsbereich des Gesetzes ausgenommen sind Einrichtungen wie der Pensionsfonds der Russischen Föderation, der obligatorische Krankenversicherungsfonds, der Föderale Steuerdienst, der Föderale Migrationsdienst und viele andere Regierungsbehörden, deren Zuständigkeiten direkt in der Bundesgesetzgebung festgelegt und detailliert sind , auch im Rahmen von Transaktionen mit personenbezogenen Daten. . Die betrachtete Prämisse führt auch zu der Schlussfolgerung, dass Telekommunikationsbetreiber keine PD-Betreiber sind, da der Zweck der Erhebung der PD der Teilnehmer im Gesetz „Über die Kommunikation“ und in dessen Satzung vorgesehen ist – d. h. wird vom Staat bestimmt und nicht von einer bestimmten Person, die Kommunikationsdienste erbringt. Gleiches gilt für Kreditinstitute, Versicherungen und andere Organisationen, die personenbezogene Daten erheben und andere Maßnahmen ergreifen, um die Legalisierung (Geldwäsche) von Erträgen aus Straftaten zu bekämpfen, d. h. für die Zwecke, die direkt im Gesetz „Über die Bekämpfung der Legalisierung (Geldwäsche) von Erträgen aus Straftaten“ vorgesehen sind, und nicht für diese Organisationen selbst. Die Liste lässt sich endlos fortsetzen, indem man nur eine Rechtsnorm verabsolutiert und bei dem Versuch, ihre wörtliche Auslegung auf reale gesellschaftliche Beziehungen auszuprobieren, bis zur Absurdität gelangt.

Artikel 18 des Bundesgesetzes Nr. 152 legt die Verantwortlichkeiten des Betreibers bei der Erhebung personenbezogener Daten fest. Dazu gehört zunächst die Verpflichtung des Betreibers, dem Betroffenen personenbezogener Daten auf dessen Verlangen Auskunft zu erteilen (Artikel 14 des Bundesgesetzes 152), einschließlich Informationen über die Zwecke der Verarbeitung seiner personenbezogenen Daten. Bei der Festlegung dieser Verpflichtung sieht das Gesetz keine Ausnahmen für Betreiber vor, die personenbezogene Daten auf der Grundlage von Bundesgesetzen verarbeiten.

Unter Berücksichtigung des oben Gesagten wird somit deutlich, dass die Bestimmung des Zwecks der Verarbeitung personenbezogener Daten im Kontext des Gesetzes tatsächlich in der Verantwortung der Person liegt, die personenbezogene Daten verarbeitet, und nicht in einem der Merkmale, die diese Person zu einer Person machen, die sie verarbeitet Operator.

Was ist die „Definition“ eines Ziels? Das Verständnis der Bedeutung des Wortes „Definition“ hat wichtig den Inhalt einer Rechtsnorm zu verstehen, ohne die die Durchsetzung dieser Regel unmöglich ist. Da der Gesetzgeber es nicht für erforderlich hielt, den Begriff der „Zweckbestimmung“ im Gesetz selbst offenzulegen, wenden wir uns einer der in der Rechtstheorie anerkannten Auslegungsmethoden zu – der lexikalischen (sprachlichen) Auslegung.

Laut dem erklärenden Wörterbuch der russischen Sprache, herausgegeben von Prof. D.N.Ushakova, um die Mittel zu bestimmen
Genau herausfinden, informieren;
Geben Sie eine wissenschaftliche, logische Beschreibung, formulieren Sie ein Konzept, offenbaren Sie seinen Inhalt;
Entscheiden, eine Entscheidung über etwas treffen;
Als Grund für die Entwicklung, Bildung von etwas, Vorgabe, Zustand dienen;
Zuweisen, angeben.

Daher kann man unter der Bestimmung des Zwecks der Verarbeitung personenbezogener Daten deren Klärung, Auswahl, Isolierung aus einer Vielzahl möglicher Zwecke, Festlegung oder Bezeichnung als solche verstehen und diesen spezifischen Zweck (Ziele) als Grund für die Verarbeitung personenbezogener Daten angeben.

Die kontextbezogene Analyse des Inhalts des Bundesgesetzes 152 und die Identifizierung seiner semantischen Verbindungen mit anderen Rechtsquellen lassen den Schluss zu, dass für einzelne PD-Betreiber und (oder) in Bezug auf bestimmte Kategorien von PD-Subjekten die Zwecke der PD-Verarbeitung tatsächlich vorbestimmt werden können oder sogar direkt in Gesetzen oder Vorschriften festgelegt (Das Arbeitsgesetz beispielsweise weist Arbeitgebern ausdrücklich auf die Zwecke hin, zu denen die personenbezogenen Daten der Arbeitnehmer verarbeitet werden). Der Zweck der Verarbeitung bestimmter personenbezogener Daten durch andere Betreiber ergibt sich aus deren Verpflichtungen aus vertraglichen Verpflichtungen. In einigen Fällen können die Zwecke der Verarbeitung personenbezogener Daten gleichzeitig durch den Inhalt der kommerziellen Aktivitäten des Betreibers und die Anforderungen des Gesetzes bestimmt werden (Kommunikationsbetreiber verarbeiten personenbezogene Daten, um ihre eigenen gesetzlichen Aktivitäten zur Erzielung von Gewinn durchzuführen). Daten zum Zwecke der Bereitstellung von Kommunikationsdiensten und gemäß dem Gesetz „Über Kommunikation“).

Somit besteht die Hauptaufgabe der Person, die personenbezogene Daten verarbeitet, gerade darin, die Zwecke der Verarbeitung personenbezogener Daten zu formulieren und selbst zu verstehen, was genau die Verarbeitung personenbezogener Daten für sie konkret bestimmt Einzelpersonen. Die Formulierung einer Antwort auf diese Frage wird eigentlich darin bestehen, den Zweck der Verarbeitung personenbezogener Daten zu definieren.

Im Zusammenhang mit der in diesem Artikel behandelten Problematik erscheint die von der Regierung der Russischen Föderation geäußerte Meinung zu den Änderungen des Bundesgesetzes Nr. 152 interessant. Am 5. Mai 2010 wurde ein von ihrem Stellvertreter V. M. Reznik der Staatsduma vorgelegter Gesetzentwurf angenommen in der ersten Lesung. Dieser Gesetzentwurf schlägt unter anderem eine Neuformulierung des Begriffs „Betreiber“ vor, nämlich:

„Betreiber ist eine staatliche Stelle, eine kommunale Körperschaft, eine juristische Person oder eine natürliche Person, die personenbezogene Daten verarbeitet und die Zwecke, den Inhalt und das Verfahren der Verarbeitung personenbezogener Daten festlegt.“ Wie wir sehen, wurde das Wort „organisieren“ aus der aktuellen Formulierung gestrichen. In ihrer offiziellen Antwort auf diesen Gesetzentwurf weist die Regierung der Russischen Föderation darauf hin, dass „eine solche Änderung nicht unterstützt werden kann, da Personen, die personenbezogene Daten verarbeiten, aber nicht über die Zwecke und den Inhalt der Verarbeitung entscheiden, nicht als Betreiber gelten können.“ Aus dem obigen Kommentar der Regierung der Russischen Föderation geht hervor, dass heute (wo der Wortlaut des Gesetzes noch nicht geändert wurde) nach Ansicht der Regierung der Russischen Föderation jede Person, die personenbezogene Daten verarbeitet, ein Betreiber ist. unabhängig davon, ob die Tatsache vorliegt oder nicht, dass er die Zwecke dieser Verarbeitung festgelegt hat.

Die in diesem Artikel durchgeführte Analyse ermöglicht es uns also, mehrere Schlussfolgerungen zu ziehen.
Die Bestimmung des Zwecks der Verarbeitung personenbezogener Daten liegt in der Verantwortung des Betreibers und ist kein zwingendes Identifizierungsmerkmal des Betreibers.
Die Bestimmung des Zwecks der Verarbeitung personenbezogener Daten ist der Prozess des Verständnisses, der Klärung, Spezifizierung und Formulierung des Zwecks der Verarbeitung personenbezogener Daten durch den Betreiber, auch in Fällen, in denen diese Zwecke im Voraus festgelegt sind und (oder) sich aus den gesetzlichen Bestimmungen oder den ihm übertragenen Befugnissen ergeben der Betreiber.

So organisieren Sie die Verarbeitung personenbezogener Daten von Mitarbeitern. Register der Betreiber personenbezogener Daten von Roskomnadzor. So erhalten Sie die Einwilligung eines Mitarbeiters zur Verarbeitung seiner personenbezogenen Daten.

Frage: Ist das kommunale Einheitsunternehmen verpflichtet, sich im Register der Betreiber personenbezogener Daten von Roskomnadzor zu registrieren und eine Reihe von Dokumenten zum Schutz personenbezogener Daten zu erstellen?

Antwort: Ja, ein kommunales Einheitsunternehmen ist verpflichtet, sich in das Register der Betreiber personenbezogener Daten einzutragen und eine Reihe von Dokumenten zum Schutz personenbezogener Daten zu erstellen, wenn das kommunale Einheitsunternehmen Mitarbeiter beschäftigt und das kommunale Einheitsunternehmen deren personenbezogene Daten verarbeitet Das kommunale Einheitsunternehmen verarbeitet personenbezogene Daten verschiedener Personen (Kunden, Partner).

Begründung

So organisieren Sie die Verarbeitung personenbezogener Mitarbeiterdaten

Das Konzept der personenbezogenen Daten

Auf welche personenbezogenen Daten eines Mitarbeiters hat die Organisation Anspruch?

Öffentliche personenbezogene Daten

Frage aus der Praxis: welche personenbezogenen Daten als öffentlich gelten

Öffentliche Informationen sind allgemein bekannte Informationen und andere Informationen, auf die der Zugriff nicht beschränkt ist. Solche Informationen können von jeder Person nach eigenem Ermessen verwendet werden, vorbehaltlich der Einhaltung gesetzlicher Vorschriften. etablierte Einschränkungen für seine Verbreitung. Dies ist in den Absätzen von Artikel 7 des Gesetzes vom 27. Juli 2006 Nr. 149-FZ festgelegt.

Öffentliche personenbezogene Daten sind Daten, die der Betroffene der personenbezogenen Daten als solche zur Verfügung gestellt hat. Zu den öffentlichen personenbezogenen Daten können Informationen gehören, die einer unbegrenzten Anzahl von Personen zugänglich sind (z. B. Daten aus offenen Verzeichnissen, Adressbüchern usw.).

Da jeder Zugriff darauf hat, bedürfen sie keiner besonderen Sicherheit mehr.

Bei der Verarbeitung dieser Daten muss der Betreiber die autorisierte Stelle zum Schutz der Rechte personenbezogener Daten nicht benachrichtigen (Absatz 4, Teil 2, Artikel 22 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ).

Einwilligung zur Verarbeitung personenbezogener Daten

So erhalten Sie die Einwilligung eines Mitarbeiters zur Verarbeitung seiner personenbezogenen Daten

Im Rahmen seiner Tätigkeit muss der Arbeitgeber personenbezogene Daten von Arbeitnehmern verarbeiten. Die Verarbeitung dieser Daten erfolgt, mit Ausnahme bestimmter Ausnahmefälle, nur mit schriftlicher Einwilligung der Mitarbeiter. In diesem Fall muss die Einwilligung folgende Angaben enthalten:

• Name, Vorname, Vatersname, Anschrift des Arbeitnehmers, Angaben zum Reisepass (einem anderen Dokument zum Nachweis seiner Identität), einschließlich Angaben zum Ausstellungsdatum des Dokuments und zur ausstellenden Behörde;

• Vor- oder Nachname, Vorname, Vatersname und Anschrift des Arbeitgebers (Betreibers), der die Zustimmung des Arbeitnehmers erhält;
• Zweck der Verarbeitung personenbezogener Daten;
• Liste der personenbezogenen Daten, für deren Verarbeitung eine Einwilligung erteilt wird;
• Vor- oder Nachname, Vorname, Vatersname und Anschrift der Person, die personenbezogene Daten im Auftrag des Arbeitgebers verarbeitet, sofern die Verarbeitung einer solchen Person anvertraut wird;
• eine Liste der Handlungen mit personenbezogenen Daten, für die eine Einwilligung erteilt wird, eine allgemeine Beschreibung der Methoden, die der Arbeitgeber zur Verarbeitung personenbezogener Daten anwendet;
• die Gültigkeitsdauer der Einwilligung des Arbeitnehmers sowie die Art und Weise ihres Widerrufs, sofern das Bundesgesetz nichts anderes bestimmt;
• Angestelltenunterschrift.

Solche Anforderungen werden in Teil 4 festgelegt

Wenn ein Mitarbeiter arbeitsunfähig ist, erteilt sein gesetzlicher Vertreter, sein Elternteil, sein Vormund, die schriftliche Zustimmung zur Verarbeitung seiner personenbezogenen Daten (Artikel 9 Teil 6 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ).

Ein Arbeitnehmer kann die Einwilligung zur Verarbeitung seiner personenbezogenen Daten jederzeit widerrufen, indem er dem Arbeitgeber in irgendeiner Form eine Rückmeldung sendet. In einer solchen Situation hat die Organisation das Recht, die Verarbeitung personenbezogener Daten ohne Zustimmung des Mitarbeiters fortzusetzen, unter Berücksichtigung der in den Absätzen 2-11 von Teil 1 von Artikel 6, Teil 2 von Artikel 10 und Teil 2 des Artikels genannten Einschränkungen 11 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ, beispielsweise zur Rechtspflege oder zum Schutz des Lebens (Gesundheit) des Arbeitnehmers selbst. Dies ist in Teil 2 von Artikel 9 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ festgelegt.

Es ist zu beachten, dass im Streitfall die Beweispflicht dafür, dass die Einwilligung des Arbeitnehmers zur Verarbeitung seiner personenbezogenen Daten eingeholt wurde, beim Arbeitgeber liegt (Artikel 9 Teil 3 des Gesetzes vom 27. Juli 2006 Nr. 152). -FZ).

Mit Zustimmung des Mitarbeiters hat die Organisation auch das Recht, die Verarbeitung personenbezogener Daten einer anderen Person anzuvertrauen (Artikel 6 Teil 3 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ). In diesem Fall ist der Arbeitgeber gegenüber dem Arbeitnehmer weiterhin für die Handlungen der angegebenen Person verantwortlich, und die Person, die personenbezogene Daten im Namen des Arbeitgebers verarbeitet, ist direkt gegenüber dem Arbeitgeber verantwortlich (Artikel 6 Teil 5 des Gesetzes vom 27. Juli 2006 Nr. 152 – Bundesgesetz).

Es ist zu beachten, dass der Arbeitgeber die Einwilligung zur Verarbeitung personenbezogener Daten nicht nur von Arbeitnehmern einholen muss, also von Personen, mit denen er in einem Arbeitsverhältnis steht, sondern auch von Bewerbern sowie von Personen, mit denen zivilrechtliche Verträge geschlossen wurden in der Organisation abgeschlossen. Dies ist in Absatz 5 der Klarstellungen von Roskomnadzor vom 14. Dezember 2012 angegeben.

Universelle Zustimmung

Frage aus der Praxis: Ist es möglich, beim Abschluss eines Arbeitsvertrags vor der Entlassung in allen erforderlichen Situationen eine schriftliche Einwilligung des Arbeitnehmers einzuholen, seine personenbezogenen Daten an Dritte weiterzugeben?

Nein, geht nicht.

Um Mitarbeiterdaten an Dritte weiterzugeben, muss die Organisation die schriftliche Zustimmung dieses Mitarbeiters einholen. Ohne schriftliche Zustimmung des Arbeitnehmers dürfen seine personenbezogenen Daten an Dritte weitergegeben werden, wenn dies zur Abwehr einer Gefahr für Leben und Gesundheit des Arbeitnehmers erforderlich ist und in anderen durch Bundesgesetze vorgesehenen Fällen. Solche Regeln sind in Artikel 88 Teil 1 des Arbeitsgesetzbuchs der Russischen Föderation festgelegt.

Das Arbeitsgesetzbuch der Russischen Föderation enthält keine Anforderungen an den Inhalt der schriftlichen Einwilligung zur Datenübermittlung. Allerdings legt Artikel 9 Absatz 1 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ fest, dass die Einwilligung zur Verarbeitung personenbezogener Daten konkret, informiert und bewusst erfolgen muss. Daraus folgt, dass die Organisation für jede Weitergabe seiner personenbezogenen Daten an Dritte eine schriftliche Einwilligung des Arbeitnehmers einholen muss. Nur unter solchen Voraussetzungen kann das Erfordernis der Spezifität und der Einwilligung nach Aufklärung als erfüllt angesehen werden. Die Liste der Informationen, die in der schriftlichen Einwilligung zur Übermittlung personenbezogener Daten enthalten sein müssen, ist in Artikel 9 Absatz 4 des Gesetzes Nr. 152-FZ vom 27. Juli 2006 festgelegt.

Verarbeitung personenbezogener Daten von Künstlern gemäß GPA

Frage aus der Praxis: Ist für die Verarbeitung personenbezogener Daten von Bürgern, mit denen zivilrechtliche Verträge geschlossen wurden, eine schriftliche Einwilligung erforderlich?

Ja, grundsätzlich ist es notwendig, genauso wie bei Vollzeitbeschäftigten.

Die Verarbeitung personenbezogener Daten ist nur mit schriftlicher Einwilligung des Betroffenen möglich, mit Ausnahme bestimmter Fälle, in denen eine solche Verarbeitung ohne deren Einwilligung möglich ist (). Dabei können sowohl Arbeitnehmer, die im Rahmen eines Arbeitsvertrags arbeiten, als auch Bürger, mit denen die Organisation zivilrechtliche Verträge abgeschlossen hat, Gegenstand personenbezogener Daten sein.

Daher muss eine Organisation im Allgemeinen eine Einwilligung zur Verarbeitung personenbezogener Daten einholen, einschließlich Bürgern, mit denen zivilrechtliche Verträge geschlossen wurden, um Streitigkeiten über die unbefugte Übermittlung von Daten außerhalb des Rahmens des zivilrechtlichen Vertrags auszuschließen.

Die Weigerung des ausübenden Künstlers, eine solche Zustimmung zu erteilen, stellt kein Hindernis für den Abschluss eines zivilrechtlichen Vertrags dar.

Datenverarbeitung ohne Einwilligung

In welchen Fällen ist die Zustimmung des Arbeitnehmers zur Übermittlung personenbezogener Daten nicht erforderlich?

In einigen Fällen ist die Verarbeitung personenbezogener Daten ohne Einwilligung des Arbeitnehmers möglich. Beispielsweise, wenn die Verarbeitung personenbezogener Daten zum Zweck der Erfüllung eines mit einem Mitarbeiter geschlossenen Vertrags oder zur Erreichung der gesetzlich vorgesehenen Ziele für die Umsetzung und Erfüllung der dem Betreiber durch die russische Gesetzgebung zugewiesenen Funktionen, Befugnisse und Verantwortlichkeiten erforderlich ist , es kann ohne Zustimmung des Arbeitnehmers durchgeführt werden – Gegenstand personenbezogener Daten. Dies ist im Gesetz vom 27. Juli 2006 Nr. 152-FZ festgelegt.

Zu diesen Fällen gehört die Übermittlung von Informationen an:

• Pensionsfonds der Russischen Föderation ();
• Steuerbehörden ();
• Militärkommissariate ();
• andere Stellen, wenn die Verpflichtung zur Übermittlung von Informationen über die personenbezogenen Daten des Arbeitnehmers an sie gesetzlich dem Arbeitgeber übertragen wird oder zur Erreichung der gesetzlich festgelegten Ziele erforderlich ist (z. B. Gerichte, Staatsanwaltschaft usw.).

Darüber hinaus ist in folgenden Fällen keine Einwilligung erforderlich:

• Die Verpflichtung zur Verarbeitung ist gesetzlich vorgesehen, einschließlich der Veröffentlichung und Veröffentlichung personenbezogener Daten von Mitarbeitern im Internet (z. B. Gesetz vom 21. November 2011 Nr. 323-FZ, Gesetz vom 9. Februar 2009 Nr. 8-FZ). und eine Reihe anderer Handlungen);
• Personenbezogene Daten von nahen Angehörigen des Arbeitnehmers werden in dem im Personalausweis vorgesehenen Umfang (gemäß dem einheitlichen Formular Nr. T-2 oder einem unabhängig entwickelten Formular) sowie in Fällen des Unterhaltsbezugs, der Bearbeitung von Sozialleistungen usw. verarbeitet Zugang zu Staatsgeheimnissen;
• Die Verarbeitung von Informationen über den Gesundheitszustand des Arbeitnehmers bezieht sich auf die Frage seiner Fähigkeit, seine Arbeitsfunktion auszuführen.
• Die Datenverarbeitung steht im Zusammenhang mit der Erfüllung dienstlicher Aufgaben des Arbeitnehmers, auch während seiner Dienstreise.
• Die Verarbeitung personenbezogener Daten erfolgt bei der Durchführung Zugangskontrolle auf das Territorium der Bürogebäude und Räumlichkeiten des Arbeitgebers, sofern die Organisation der Zugangskontrolle vom Arbeitgeber selbstständig durchgeführt wird.

Wenn das lokale Dokument Möglichkeiten zur Abrechnung mit Mitarbeitern vorsieht oder diesen Punkt überhaupt nicht regelt, haben Mitarbeiter das Recht, selbstständig zu entscheiden, ob sie ihr Gehalt über eine Kasse oder auf einer Bankkarte erhalten. Und wenn der Arbeitgeber beschließt, Gehälter für alle Mitarbeiter auf Bankkarten zu überweisen, sollte jeder Mitarbeiter um seine Zustimmung zur Verarbeitung personenbezogener Daten und deren Übermittlung an einen Dritten – die Bank – gebeten werden. In einer solchen Situation haben die Arbeitnehmer das Recht, ihre Einwilligung nicht zu erteilen, und der Arbeitgeber ist mangels einer solchen Einwilligung nicht in der Lage, die Daten der Arbeitnehmer, die die Einwilligung verweigert haben, weiter zu verarbeiten und an die Bank zu übermitteln.

Mehr zum Thema: Ist für die Verarbeitung personenbezogener Daten bei einem Bankwechsel zur Gehaltsüberweisung erneut eine Einwilligung des Arbeitnehmers einzuholen?

Frage aus der Praxis: Muss bei einem Bankwechsel zur Gehaltsüberweisung erneut eine Einwilligung des Arbeitnehmers zur Verarbeitung personenbezogener Daten eingeholt werden?

Nein, dies ist nicht erforderlich, sofern aus den vorliegenden Einwilligungen nicht hervorgeht, an welche konkrete Bank die Daten übermittelt wurden. Wurde die vorherige Einwilligung für eine bestimmte Bank erstellt, muss der Arbeitgeber eine neue Einwilligung nach den allgemeinen Regeln einholen ().

Darüber hinaus ist keine Zustimmung erforderlich, wenn die lokalen Dokumente der Organisation die Zahlung von Löhnen speziell dafür vorsehen Bankkarten und der Arbeitnehmer wurde bei der Einstellung oder während der Arbeit mit diesen Dokumenten vertraut gemacht (Artikel 9 Teil 2 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ). Siehe Einzelheiten.

Roskomnadzor-Benachrichtigung

So informieren Sie die Aufsichtsbehörde über den Beginn der Verarbeitung personenbezogener Daten von Mitarbeitern

Vor der Verarbeitung personenbezogener Daten von Arbeitnehmern muss der Arbeitgeber die Gebietskörperschaft Roskomnadzor über die Absicht der Verarbeitung informieren. Ausgenommen sind Fälle der Verarbeitung personenbezogener Daten:

• in Übereinstimmung mit den Arbeitsgesetzen verarbeitet;
• von Mitarbeitern öffentlich zugänglich gemacht;

• die die Organisation im Zusammenhang mit dem Abschluss einer Vereinbarung erhält, an der der Arbeitnehmer beteiligt ist (vorausgesetzt, dass personenbezogene Daten ohne Zustimmung des Arbeitnehmers nicht an Dritte weitergegeben oder weitergegeben werden und vom Arbeitgeber ausschließlich zur Ausführung der genannten Vereinbarung verwendet werden). und der Abschluss sonstiger Vereinbarungen mit dem Arbeitnehmer);
• in Bezug auf Mitglieder (Teilnehmer) einer öffentlichen Vereinigung oder religiösen Organisation;
• einschließlich nur der Nachnamen, Vornamen und Vatersnamen der Mitarbeiter;
• erforderlich für die einmalige Einreise eines Arbeitnehmers in das Gebiet des Arbeitgebers und für andere ähnliche Zwecke;
• enthalten Informationssysteme personenbezogene Daten, die gemäß Bundesgesetzen den Status staatlicher automatisierter Informationssysteme haben, sowie in staatlichen Informationssystemen für personenbezogene Daten, die zum Schutz der Staatssicherheit und der öffentlichen Ordnung geschaffen wurden;
• ohne den Einsatz von Automatisierungstools gemäß den Gesetzgebungsakten verarbeitet, die Anforderungen zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung und zur Wahrung der Rechte der Betroffenen personenbezogener Daten festlegen;
• in Fällen verarbeitet, die in der russischen Gesetzgebung zur Transportsicherheit vorgesehen sind.

Im Falle der Beendigung der Verarbeitung personenbezogener Daten ist der Arbeitgeber außerdem verpflichtet, dies der zuständigen Stelle mitzuteilen. Dies muss innerhalb von zehn Werktagen nach Beendigung der Datenverarbeitung erfolgen. Das Standardformular für die Mitteilung über die Beendigung der Datenverarbeitung wurde nicht genehmigt, sodass der Arbeitgeber es in beliebiger Form erstellen kann ().

Frage aus der Praxis: was unter der Verarbeitung personenbezogener Daten von Arbeitnehmern zu verstehen ist

Schutz personenbezogener Daten

So organisieren Sie den Schutz personenbezogener Daten von Mitarbeitern in einer Organisation

Um die Offenlegung personenbezogener Daten zu verhindern, schaffen Sie ein zuverlässiges System zu deren Schutz. Das Verfahren für den Empfang, die Verarbeitung, die Übermittlung und die Speicherung dieser Informationen ist in einem lokalen Gesetz der Organisation festgelegt, beispielsweise in (Artikel, Arbeitsgesetzbuch der Russischen Föderation). Die Regelungen werden vom Leiter der Organisation genehmigt. Machen Sie es mit der Unterschrift der Mitarbeiter der Organisation vertraut. Dies ist in Teil 1 von Artikel 86 des Arbeitsgesetzbuchs der Russischen Föderation festgelegt.

Außerdem muss die Organisation eine Person benennen, die für die Arbeit mit personenbezogenen Daten verantwortlich ist (Artikel 88 Teil 5 des Arbeitsgesetzbuchs der Russischen Föderation). In der Regel handelt es sich bei einem solchen Mitarbeiter um einen Personaldienstleistungsmitarbeiter, da er im Rahmen seiner Tätigkeit am häufigsten auf personenbezogene Daten von Mitarbeitern stößt. Benennen Sie den Verantwortlichen für die Verarbeitung personenbezogener Daten per Auftrag in jeglicher Form.

Spezifische Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten der Mitarbeiter während ihrer Verarbeitung sind im Gesetz vom 27. Juli 2006 Nr. 152-FZ und den genehmigten Anforderungen vorgesehen. Auf dieser Grundlage kann eine Organisation ihr eigenes System zum Schutz personenbezogener Daten entwickeln.

Daher ist es bei der Verarbeitung personenbezogener Daten in einem Informationssystem erforderlich, den Schutz und die Sicherheit personenbezogener Daten zu gewährleisten. Gleichzeitig stellt eine Bedrohung für die Sicherheit personenbezogener Daten eine Reihe von Bedingungen und Faktoren dar, die die Gefahr eines unbefugten (einschließlich versehentlichen) Zugriffs auf personenbezogene Daten während ihrer Verarbeitung im System schaffen, was zu Folgendem führen kann:

• Zerstörung;
• ändern;
• Blockierung;
• Kopieren;
• Bestimmung;
• Verbreitung;
• andere illegale Handlungen mit personenbezogenen Daten.

Es ist zu beachten, dass die Auswahl spezifischer Informationssicherheitsmittel für das Informationssystem zur Verarbeitung personenbezogener Daten vom Arbeitgeber gemäß den Vorschriften des FSB Russlands und des FSTEC Russlands erfolgt. Die Bestimmung der Art der Bedrohungen für die Sicherheit personenbezogener Daten, die für das System zur Verarbeitung und zum Schutz personenbezogener Daten relevant sind, erfolgt unter Berücksichtigung der Bewertung möglicher Schäden und in Übereinstimmung mit den Vorschriften der genannten Stellen (Klausel , Anforderungen genehmigt durch Dekret des Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119).

Bei der Verarbeitung personenbezogener Daten in Systemen können je nach Datenkategorie und Anzahl der Mitarbeiter, über die das System Informationen enthält, vier Sicherheitsstufen festgelegt werden. Abhängig vom Sicherheitsniveau sollte der Arbeitgeber verschiedene Maßnahmen zum Schutz der Systeme zur Verarbeitung personenbezogener Daten ergreifen, die in den Absätzen 13 bis 16 der durch das Dekret der Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119 genehmigten Anforderungen vorgesehen sind. Zum Beispiel die Festlegung eines Systems zur Gewährleistung der Sicherheit von Räumlichkeiten, in denen sich personenbezogene Daten befinden, die Ernennung von Personen, die für die Gewährleistung der Sicherheit personenbezogener Daten im Informationssystem verantwortlich sind usw. Spezifische Anforderungen an die angegebenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten während Ihre Verarbeitung wird durch die Zusammensetzung und den Inhalt der organisatorischen und technischen Maßnahmen bestimmt, die mit Beschluss des FSTEC Russlands vom 18. Februar 2013 Nr. 21 genehmigt wurden.

Um die Sicherheit personenbezogener Daten bei deren Verarbeitung zu kontrollieren, führt der Arbeitgeber oder eine von ihm beauftragte Person mindestens alle drei Jahre Kontrollkontrollen durch, deren konkreter Zeitpunkt vom Arbeitgeber selbstständig festgelegt wird. Bei Bedarf können Organisationen oder Einzelunternehmer, die über eine Erlaubnis zur Durchführung technischer Schutztätigkeiten verfügen, auf vertraglicher Basis in die Durchführung einer Inspektion einbezogen werden. vertrauliche Informationen(Artikel 17 der Anforderungen, genehmigt durch das Dekret der Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119).

Erklärung zu personenbezogenen Daten

Frage aus der Praxis: Ist die Verordnung über den Umgang mit personenbezogenen Daten von Arbeitnehmern ein verbindliches Dokument?

Ja ist es.

Das Verfahren zur Speicherung, Verarbeitung und Nutzung personenbezogener Daten von Arbeitnehmern wird vom Arbeitgeber unter Berücksichtigung der Anforderungen des Arbeitsgesetzbuchs der Russischen Föderation und anderer Bundesgesetze festgelegt (). Das bedeutet, dass der Arbeitgeber das Verfahren für eine solche Verarbeitung selbstständig festlegen und in einem lokalen Regulierungsgesetz, insbesondere der Verordnung über die Arbeit mit personenbezogenen Daten von Arbeitnehmern, verankern muss. Alle Mitarbeiter der Organisation müssen bei ihrer Einstellung mit den Vorschriften zur Unterzeichnung vertraut gemacht werden (Artikel 68 Teil 3 des Arbeitsgesetzbuchs der Russischen Föderation).

Auf der Grundlage des oben Gesagten folgt, dass die Vorschriften zum Umgang mit personenbezogenen Daten ein verbindliches Dokument der Organisation sind und ihr Fehlen eine Verwaltungshaftung nach sich zieht (). Darauf weisen auch die Gerichte hin (siehe z. B. Beschluss des Föderalen Antimonopoldienstes des Bezirks Moskau vom 26. Oktober 2006 Nr. KA-A40/10220-06).

Ein Beispiel für die Gestaltung der Vorschriften zum Umgang mit personenbezogenen Daten von Arbeitnehmern

Der Leiter der Organisation genehmigte die Regelungen zum Umgang mit personenbezogenen Daten von Mitarbeitern.

Es gibt keinen Personaldienst in der Organisation. Der Buchhalter der Organisation, V. N., wurde mit der Führung der Personalakten beauftragt. Zaitseva.

Frage aus der Praxis: So schützen Sie personenbezogene Daten in einer Computerdatenbank

Verhindern unautorisierter Zugriff Für persönliche Informationen, die sich in einer Computerdatenbank befinden, legen Sie in den Vorschriften ein Verfahren zum Schutz dieser Informationen fest. Je höher das Risiko eines unbefugten Zugriffs auf personenbezogene Daten ist, desto mehr Maßnahmen müssen zum Schutz dieser Informationen ergriffen werden. Beispielsweise kann eine Organisation ein System individueller Passwörter einführen, die sich in bestimmten Abständen ändern, den Zugriff der Mitarbeiter auf Computer beschränken, auf denen persönliche Daten gespeichert sind, und Disketten und Disketten mit solchen Informationen in verschlossenen Schränken aufbewahren.

Die Verarbeitung personenbezogener Daten im Informationssystem muss in Übereinstimmung mit den Bestimmungen der Absätze 8–16 der Anforderungen erfolgen, die durch das Dekret der Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119 genehmigt wurden.

Eine Organisation kann den Schutz personenbezogener Daten sowohl unabhängig als auch unter Einbeziehung von Drittorganisationen gewährleisten, die zur Durchführung von Aktivitäten zum Schutz vertraulicher Informationen berechtigt sind. Solche Klarstellungen sind in Absatz 17 der Anforderungen enthalten, die durch das Dekret der Regierung der Russischen Föderation vom 1. November 2012 Nr. 1119 genehmigt wurden.

Frage aus der Praxis: Ist es möglich, dass Nicht-Personalmitarbeiter das Recht erhalten, auf die personenbezogenen Daten anderer Mitarbeiter zuzugreifen?

Ja, das können Sie, wenn Mitarbeiter Zugriff auf solche Informationen benötigen, um bestimmte Aufgaben auszuführen.

Auf personenbezogene Daten von Mitarbeitern können nur besonders autorisierte Personen zugreifen, die diesen Zugriff zur Wahrnehmung bestimmter Aufgaben benötigen. Dies ist im Arbeitsgesetzbuch der Russischen Föderation festgelegt.

Grundsätzlich sollten Mitarbeiter aufgrund der Besonderheit ihrer Tätigkeit Zugriff auf personenbezogene Daten haben:

• Personaldienstmitarbeiter;
• Buchhaltungspersonal;
• Generaldirektor und ggf. seine Stellvertreter;
• Abteilungsleiter und unmittelbare Vorgesetzte.

In diesem Fall wird jeder dieser Mitarbeiterkategorien eine eigene Zugriffsebene zugewiesen. Beispielsweise können Buchhaltungsmitarbeiter Zugriff auf die Adressdaten der Mitarbeiter und deren Mitarbeiter erhalten Familienstand, Abteilungsleiter – in Bezug auf personenbezogene Daten ausschließlich über ihre Untergebenen.

Die Zugriffsebenen bestimmter Personen sowie das konkrete Verfahren zur Übermittlung personenbezogener Daten von Mitarbeitern innerhalb der Organisation müssen in ihren lokalen Dokumenten festgelegt werden, beispielsweise in den Bestimmungen zum Schutz personenbezogener Daten von Mitarbeitern (Artikel 88 Absatz 5). des Arbeitsgesetzbuches der Russischen Föderation). Autorisierte Personen müssen mit den Bestimmungen des Dokuments vertraut sein und über ihre Rechte und Pflichten sowie die Verantwortung für die Verwendung von Informationen für andere Zwecke informiert werden ().

Beratung: Die Bedingungen für die Veröffentlichung personenbezogener Daten von Mitarbeitern auf der Unternehmenswebsite sind in den Bestimmungen zum Umgang mit personenbezogenen Daten festgelegt. Erstellen Sie gleichzeitig einen Anhang, in dem Sie eine Liste der Mitarbeiter angeben, die der Veröffentlichung personenbezogener Daten zustimmen (oder nicht zustimmen). Somit wird die Anforderung erfüllt und die Organisation kann die personenbezogenen Daten von Mitarbeitern, die mit einer solchen Platzierung einverstanden sind, auf der Unternehmenswebsite veröffentlichen.

Um die Rechte ihrer Mitarbeiter zu gewährleisten, sind die Organisation und ihre Vertreter bei der Verarbeitung personenbezogener Daten verpflichtet, die im Arbeitsgesetzbuch der Russischen Föderation geregelten Anforderungen einzuhalten. Personen, die sich eines Verstoßes gegen die Vorschriften zum Schutz personenbezogener Daten schuldig machen, unterliegen der verwaltungs- und strafrechtlichen Haftung (). Oder sie werden mit der Formulierung „wegen der Offenlegung der personenbezogenen Daten eines anderen Arbeitnehmers auf der Grundlage von Artikel 81 Absatz 6 Teil 1 Unterabsatz „c“ des Arbeitsgesetzbuchs der Russischen Föderation entlassen.“

Frage aus der Praxis: Hat der Leiter einer Struktureinheit das Recht, von der Buchhaltung eine monatliche Auskunft über die aufgelaufenen Gehälter der ihm unterstellten Mitarbeiter zu verlangen?

Angaben zu den den Mitarbeitern zustehenden Beträgen beziehen sich auf personenbezogene Daten (Absatz 1, Artikel 3 des Gesetzes Nr. 152-FZ vom 27. Juli 2006). Der unmittelbare Vorgesetzte kann sie anfordern, wenn die entsprechende Erlaubnis in einem örtlichen Regulierungsgesetz festgelegt ist und die Zustimmung des Mitarbeiters zur Verarbeitung seiner personenbezogenen Daten eingeholt wurde.

Gleichzeitig enthält die Besetzungstabelle Informationen über Gehälter und Prämien der Mitarbeiter. Die Besetzungstabelle ist ein lokales Dokument der Organisation und bezieht sich nicht auf personenbezogene Daten. Der Leiter einer Struktureinheit kann bei Bedarf auf dieses Dokument zurückgreifen, wenn dies in der Stellenbeschreibung des Leiters oder einem örtlichen Gesetz der Organisation vorgesehen ist. Dies wird es ihm ermöglichen, zu bekommen notwendige Informationen ohne die Buchhaltung zu kontaktieren.

Weigerung, Daten zu verarbeiten

Frage aus der Praxis: Was ist zu tun, wenn eine Person die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten verweigert?

Die Organisation hat das Recht, die personenbezogenen Daten einer Person ohne deren Zustimmung weiterhin zu verarbeiten, wenn bestimmte Gründe vorliegen. Gleichzeitig ist das Volumen dieser Verarbeitung recht groß und ermöglicht es der Organisation, laufende Aktivitäten ohne Unterbrechung durchzuführen.

Insbesondere darf der Arbeitgeber von Bewerbern keine Einwilligung zur Verarbeitung personenbezogener Daten verlangen, um einen Arbeits- und Zivilvertrag abzuschließen, personalisierte Berichte an die Behörden des Pensionsfonds der Russischen Föderation zu senden oder Steuerberichte an den Föderalen Steuerdienst Russlands zu übermitteln , Informationen über Wehrpflichtige an Militärkommissariate sowie zur Aufbewahrung von Dokumenten mit personenbezogenen Daten, einschließlich Arbeits- und Zivilverträgen, Personalausweisen, Personalakten usw. Das heißt, wenn der Arbeitgeber die ihm gesetzlich übertragenen Pflichten erfüllt .

Solche Regeln sind in den Absätzen 2-11 von Teil 1 von Artikel 6, Teil 2 von Artikel 10 und Teil 2 von Artikel 11 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ festgelegt.

Zur Durchführung aller anderen Maßnahmen muss die Organisation die Einwilligung der Person zur Verarbeitung ihrer personenbezogenen Daten einholen (Artikel 9 Teil 4 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ).

Aufmerksamkeit: Die geltende Gesetzgebung verpflichtet eine Person nicht zur Einwilligung in die Verarbeitung personenbezogener Daten, daher kann eine Weigerung ihrerseits nicht als Verstoß und Grund für die Verweigerung des Vertragsabschlusses angesehen werden. Ein Mitarbeiter des Personals kann auch nicht entlassen oder mit anderen Disziplinarmaßnahmen belegt werden, wenn er die Einwilligung zur Verarbeitung personenbezogener Daten verweigert.

Frage aus der Praxis: Was ist zu tun, wenn ein Mitarbeiter sich weigert, personenbezogene Daten von Familienmitgliedern zum Ausfüllen von Personaldokumenten anzugeben?

Unter Anonymisierung personenbezogener Daten versteht man Handlungen, die ohne deren Nutzung nicht mehr möglich sind Weitere Informationen Bestimmen Sie das Eigentum an personenbezogenen Daten einer bestimmten Person ().

Wenn eine Anonymisierung personenbezogener Daten erforderlich ist, genehmigen die Leiter der Organisationen:

• Regeln für die Arbeit mit anonymisierten Daten;
• Liste der Positionen von Mitarbeitern, die für die Durchführung von Maßnahmen zur Anonymisierung verarbeiteter personenbezogener Daten verantwortlich sind.

Solche Regeln sind in Absatz 1 Unterabsatz „b“ der Liste vorgesehen, die durch das Dekret der Regierung der Russischen Föderation vom 21. März 2012 Nr. 211 genehmigt wurde.

Spezifische Anforderungen und Methoden zur Depersonalisierung personenbezogener Daten, die in Informationssystemen verarbeitet werden, sind in den Anforderungen und Methoden festgelegt, die durch die Roskomnadzor-Verordnung Nr. 996 vom 5. September 2013 genehmigt wurden.

Die Hauptvoraussetzung für die Depersonalisierung personenbezogener Daten besteht darin, nicht nur den Schutz vor unbefugter Nutzung, sondern auch die Möglichkeit ihrer Verarbeitung zu gewährleisten. Dazu müssen anonymisierte Daten über Eigenschaften verfügen, die die grundlegenden Merkmale anonymisierter personenbezogener Daten bewahren. Zu diesen Eigenschaften zählen insbesondere:

• Vollständigkeit, d. h. Bewahrung aller Informationen über bestimmte Personen oder Personengruppen, die vor der Depersonalisierung verfügbar waren;
• Strukturiertheit, also die Erhaltung struktureller Verbindungen zwischen den depersonalisierten Daten einer bestimmten Person oder Personengruppe, die vor der Depersonalisierung existierten;
• Anwendbarkeit, d. h. die Fähigkeit, Probleme bei der Verarbeitung personenbezogener Daten zu lösen, ohne zunächst den gesamten Umfang der Aufzeichnungen über Personen zu entpersonalisieren;
• Anonymität, d. h. die Unmöglichkeit, die durch Depersonalisierung gewonnenen Daten ohne Verwendung zusätzlicher Informationen eindeutig zu identifizieren.

Die wichtigsten Anforderungen an Methoden zur Anonymisierung personenbezogener Daten sind:

• Sicherstellung der erforderlichen Eigenschaften anonymisierter Daten;
• Einhaltung der Anforderungen an die Eigenschaften der Methoden;
• Implementierung von Methoden in verschiedene Programme;
• Lösung der übertragenen Aufgaben der Verarbeitung personenbezogener Daten.

Zu den vielversprechendsten und praktischsten für die praktische Anwendung zählen die folgenden Depersonalisierungsmethoden:

• die Methode zur Einführung von Identifikatoren, d. h. das Ersetzen eines Teils der personenbezogenen Daten durch Identifikatoren und die Erstellung einer Tabelle mit den Übereinstimmungen der Identifikatoren mit den Originaldaten;
• Methode zur Änderung der Zusammensetzung oder Semantik, d. h. Änderung der Zusammensetzung oder Semantik personenbezogener Daten durch Ersetzen der Ergebnisse der statistischen Verarbeitung, Zusammenfassung oder Löschung eines Teils der Informationen;
• Zerlegungsmethode, d. h. Aufteilung einer Reihe personenbezogener Daten in mehrere Teile mit anschließender separater Speicherung;
• Mischmethode, d. h. das Neuanordnen einzelner Datensätze sowie Gruppen von Datensätzen in einer Reihe personenbezogener Daten.

Aus Sicherheitsgründen haben auch kommerzielle Organisationen bei der Arbeit mit personenbezogenen Daten von Mitarbeitern das Recht, sind jedoch nicht verpflichtet, eine Depersonalisierung vorzunehmen (Artikel 3 Absatz 3 des Gesetzes Nr. 152-FZ vom 27. Juli 2006). Wenn eine Organisation beschließt, personenbezogene Daten zu anonymisieren, muss die spezifische Anonymisierungsmethode in einem lokalen Gesetz verankert werden, beispielsweise in den Vorschriften über die Arbeit mit personenbezogenen Daten von Mitarbeitern (Artikel , Arbeitsgesetzbuch der Russischen Föderation).

Überprüfung der Einhaltung der Anforderungen an die Verarbeitung personenbezogener Daten

Wie Compliance-Prüfungen bei der Verarbeitung personenbezogener Daten durchgeführt werden

Roskomnadzor führt beim Arbeitgeber Kontrollen hinsichtlich der Verarbeitung personenbezogener Daten durch. Mit der Verordnung Nr. 312 des Ministeriums für Telekommunikation und Massenkommunikation Russlands vom 14. November 2011 wurden die Verwaltungsvorschriften für die Ausübung der Aufgaben der staatlichen Kontrolle (Aufsicht) durch diesen Dienst genehmigt.

Gegenstand der Kontrolle über die Aktivitäten des Arbeitgebers im Zusammenhang mit der Verarbeitung personenbezogener Daten sind:

• dokumentiert die Art der Informationen, in denen die Aufnahme personenbezogener Daten vorgeschlagen oder zugelassen wird;
• Informationssysteme für personenbezogene Daten;
• Verarbeitungstätigkeiten.

Roskomnadzor führt sowohl geplante als auch außerplanmäßige Inspektionen in Form von Dokumenten- oder Vor-Ort-Inspektionen durch (Gesetz Nr. 294-FZ vom 26. Dezember 2008). Die Rechte und Pflichten der Beamten von Roskomnadzor bei Inspektionen werden jeweils durch Absätze und Verwaltungsvorschriften bestimmt, die durch die Verordnung des Ministeriums für Telekommunikation und Massenkommunikation Russlands vom 14. November 2011 Nr. 312 genehmigt wurden.

Der Zeitrahmen für die Überprüfung der Aktivitäten des Arbeitgebers bei der Verarbeitung personenbezogener Daten im Rahmen sowohl geplanter als auch außerplanmäßiger Kontrollen darf 20 Arbeitstage nicht überschreiten. Gleichzeitig darf bei Kleinunternehmen die Gesamtdauer der geplanten Vor-Ort-Kontrollen ein Jahr nicht überschreiten:

• 50 Stunden – für ein kleines Unternehmen;
• 15 Stunden – für ein Kleinstunternehmen.

In Ausnahmefällen kann die Frist für die Durchführung einer planmäßigen Inspektion vor Ort verlängert werden, jedoch um höchstens 20 Arbeitstage und bei Klein- und Kleinstunternehmen um höchstens 15 Stunden. Dies ist möglich, wenn sich bei der Inspektion die Notwendigkeit ergibt:

• komplexe und langwierige Forschung und Tests;
• besondere Untersuchungen und Untersuchungen.

Nur diejenigen Mitarbeiter, die sich zur Einhaltung der Regeln für den Umgang mit personenbezogenen Daten verpflichtet und gegen diese verstoßen haben (), können disziplinarisch haftbar gemacht werden. Eine finanzielle Haftung kann entstehen, wenn der Organisation im Zusammenhang mit einem Verstoß gegen die Regeln zum Umgang mit personenbezogenen Daten ein unmittelbarer tatsächlicher Schaden entsteht ().

Bei Verstößen gegen das Verfahren zur Erhebung, Speicherung, Nutzung oder Weitergabe personenbezogener Daten werden die Organisation und ihre Mitarbeiter mit einer Geldstrafe belegt. Bei einer Inspektion kann Roskomnadzor mehrere unterschiedliche Verstöße feststellen. Dann kassiert er mehrere Bußgelder auf einmal.

Die Höhe der Bußgelder richtet sich nach der Art der begangenen Straftat. So können Beamte mit einer Geldstrafe in Höhe von 3.000 bis 20.000 Rubel, Einzelunternehmer – in Höhe von 5.000 bis 20.000 Rubel, Organisationen – in Höhe von 15.000 bis 75.000 Rubel belegt werden. Weitere Informationen zu den Bußgeldern bei Verstößen beim Umgang mit personenbezogenen Daten finden Sie in der Tabelle.

Solche Haftungsmaßnahmen sind in den Artikeln des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation vorgesehen.

Eine strafrechtliche Haftung für den Leiter einer Organisation (eine andere Person, die für die Arbeit mit personenbezogenen Daten verantwortlich ist) kann sich aus folgenden Gründen ergeben:

• Sammeln oder Verbreiten von Informationen über das Privatleben eines Mitarbeiters, die sein persönliches oder familiäres Geheimnis darstellen, ohne dessen Zustimmung;
• Verbreitung dieser Informationen in einer öffentlichen Rede, einem öffentlich ausgestellten Werk oder in Medien.

Für diese Verstöße sind folgende Strafen vorgesehen:

• eine Geldstrafe von bis zu 200.000 Rubel. (oder in Höhe des Einkommens der verurteilten Person für einen Zeitraum von bis zu 18 Monaten);
• Pflichtarbeit bis zu 360 Stunden;
• Justizvollzugsanstalten bis zu einem Jahr;
• Zwangsarbeit für einen Zeitraum von bis zu zwei Jahren mit oder ohne Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten für einen Zeitraum von bis zu drei Jahren auszuüben;
• Festnahme bis zu vier Monaten;
• Freiheitsstrafe bis zu zwei Jahren mit Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, bis zu drei Jahren.

In diesem Fall sind dieselben Taten strafbar, die eine Person unter Ausnutzung ihrer Amtsstellung begeht:

• eine Geldstrafe in Höhe von 100.000 bis 300.000 Rubel. (oder in Höhe des Einkommens der verurteilten Person für einen Zeitraum von ein bis zwei Jahren);
• Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten für einen Zeitraum von zwei bis fünf Jahren auszuüben;
• Zwangsarbeit für eine Dauer von bis zu vier Jahren mit oder ohne Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten für eine Dauer von bis zu fünf Jahren auszuüben;
• Festnahme für eine Dauer von vier bis sechs Monaten;
• Freiheitsstrafe bis zu vier Jahren mit Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, bis zu fünf Jahren.

Frage aus der Praxis: Kann in Arbeitsverträgen mit Arbeitnehmern die Geheimhaltung vertraulicher Informationen vorgesehen werden?

Ja, du kannst.

Allerdings nur für diejenigen Mitarbeiter, die direkt mit personenbezogenen Daten arbeiten: Personalverantwortliche, Personalmanager, Sekretärinnen (). Machen Sie den Mitarbeiter in diesem Fall bei der Einstellung mit den Vorschriften zum Umgang mit personenbezogenen Daten vertraut.

Frage aus der Praxis: Ist es möglich, Vertretern anderer Unternehmen, beispielsweise Banken, telefonisch Informationen über die Arbeit eines Mitarbeiters in einer Organisation zu geben?

Ja, das ist möglich, aber nur mit der schriftlichen Zustimmung des Arbeitnehmers selbst.

Unter personenbezogenen Daten versteht man alle Informationen, die sich direkt oder indirekt auf eine bestimmte Person beziehen (Gegenstand personenbezogener Daten) (Artikel 3 Teil 1 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ). Gleichzeitig ist die Liste der personenbezogenen Daten nicht erschöpfend, d. h. alle Informationen, die sich auf eine bestimmte Person beziehen, sind deren personenbezogene Daten. Somit sind der Arbeitsort und die Tatsache der Arbeit selbst, die von einer Organisation, beispielsweise von einem Kreditinstitut zur Bestätigung der Tatsache der Arbeit oder von einem potenziellen Arbeitgeber über einen ehemaligen Arbeitnehmer, angefordert werden, personenbezogene Daten. Daher ist die Übermittlung von Daten über einen Mitarbeiter an andere Organisationen nur unter Einhaltung der allgemeinen Anforderungen an die Verarbeitung personenbezogener Daten, also nur mit Zustimmung des Mitarbeiters selbst (Ziffer 3, Teil 1, Artikel 86 der Arbeitsgesetzbuch der Russischen Föderation).

Somit ist es möglich, nicht identifizierten Personen, auch solchen, die sich als Bankspezialisten ausgeben, Auskunft darüber zu geben, dass Mitarbeiter telefonisch arbeiten, jedoch nur mit schriftlicher Zustimmung des Mitarbeiters selbst, unabhängig davon, ob er weiterhin in der Organisation tätig ist oder hat bereits gekündigt.

Frage aus der Praxis: Ist der Arbeitgeber verpflichtet, auf Verlangen des Gerichtsvollzieherdienstes die Tatsache der Arbeit in der Organisation des schuldnerischen Arbeitnehmers zu melden?

Die Tatsache, in einer Organisation zu arbeiten, bezieht sich auf die personenbezogenen Daten des Mitarbeiters. Der Gerichtsvollzieher, der das Vollstreckungsverfahren durchführt, hat das Recht, von der Organisation Informationen über Mitarbeiter zu verlangen, in Bezug auf die gerichtliche Entscheidungen über die Zahlung von Unterhaltszahlungen oder anderen Arten von zugesprochenen Zahlungen getroffen wurden, einschließlich Informationen zu personenbezogenen Daten. Diese Anfrage Der Arbeitgeber hat kein Recht, dies zu ignorieren. Solche Regeln werden durch das Gesetz vom 2. Oktober 2007 Nr. 229-FZ festgelegt.

Gleichzeitig hat der Arbeitgeber das Recht, die Tatsache der Arbeit in der Organisation des Schuldners ohne seine Zustimmung zu melden und personenbezogene Daten an Dritte weiterzugeben, da in diesem Fall die Verarbeitung personenbezogener Daten für die Rechtspflege erforderlich ist , Ausführung Gerichtsakt, vorbehaltlich der Vollstreckung gemäß den Rechtsvorschriften Russlands über Vollstreckungsverfahren (Absatz 3, Teil 1, Artikel 6, Absatz 6, Teil 2, Artikel 10, Teil 2, Artikel 11 des Gesetzes vom 27. Juli 2006 Nr. 152- FZ ).

Somit ist der Arbeitgeber verpflichtet, auf die Anfrage des Gerichtsvollzieherdienstes über die Tatsache der Arbeit des schuldnerischen Arbeitnehmers zu antworten. Holen Sie die Zustimmung des Mitarbeiters dazu ein

Margarita Orlova antwortet:

Leiter der Abteilung für die Verwaltung von Versicherungsbeiträgen des Föderalen Versicherungsdienstes Russlands

„Zur Bestätigung der Haupttätigkeitsart einer separaten Abteilung, die selbstständig Beiträge zahlt, reichen Sie die gleichen Unterlagen ein wie für die Gesamtorganisation.“ Der einzige Unterschied besteht darin, dass sie nur Informationen über die Abteilung wiedergeben und diese an die Zweigstelle der Sozialversicherungskasse am Ort der Registrierung dieser Abteilung übermitteln. Wie Sie Beiträge zahlen, bis Sie von der Sozialversicherungsanstalt einen Bescheid über den Tarif für das laufende Jahr erhalten haben, erfahren Sie in der Empfehlung.“

In welchen Fällen ist es notwendig, Roskomnadzor über die Verarbeitung personenbezogener Daten zu informieren? Die Antwort steht im Artikel.

Frage: Sind wir gesetzlich verpflichtet, uns im Register der Betreiber personenbezogener Daten von Roskomnadzor einzutragen? in Absatz 2 der Kunst. 22 des Gesetzes vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ besagt: 2. Der Betreiber hat das Recht, personenbezogene Daten zu verarbeiten, ohne die zuständige Stelle zum Schutz der Rechte personenbezogener Daten zu benachrichtigen. Wir sind nicht verpflichtet, uns in das Register einzutragen?

Antwort: Eine Eintragung in das Register der Betreiber personenbezogener Daten von Roskomnadzor ist nicht erforderlich, da es kein Registrierungsverfahren gibt. Vor der Verarbeitung personenbezogener Daten ist der Betreiber verpflichtet, eine Mitteilung an Roskomnadzor zu senden (Absatz 1, Artikel 22 des Gesetzes Nr. 152-FZ). Roskomnadzor führt ein Betreiberregister auf der Grundlage von Meldungen.

Gleichzeitig gibt es Ausnahmen von dieser Rechtsnorm, die im Einzelnen in Absatz 2 der Kunst aufgeführt sind. 22 des Gesetzes Nr. 152-FZ.

Begründung

Speicherung personenbezogener Daten in Russland. Welche Funktionen gibt es für die Mitarbeiterinformation?

Wenn das Unternehmen personenbezogene Daten nicht nur von Mitarbeitern und Auftragnehmern verarbeitet, sondern auch von Einzelpersonen. Das heißt, praktisch jedes Unternehmen ist verpflichtet, Behörden über die Verarbeitung personenbezogener Daten zu informieren.

Von allgemeine Regel Der Arbeitgeber ist verpflichtet, Roskomnadzor über den Beginn der Verarbeitung personenbezogener Daten zu informieren (Teil 1, Artikel 22 des Gesetzes Nr. 152-FZ). Viele Unternehmen haben dies immer noch nicht getan. Sie begründen es so: Der Arbeitgeber verarbeitet nur personenbezogene Daten seiner Arbeitnehmer. Daher fällt das Unternehmen unter die in Abschnitt 1, Teil 2, Art. festgelegte Ausnahme. 22 des Gesetzes Nr. 152-FZ. Nach dieser Norm hat der Arbeitgeber das Recht, personenbezogene Daten im Einklang mit dem Arbeitsrecht zu verarbeiten, ohne Roskomnadzor zu benachrichtigen.

In den meisten Fällen ist jedoch die Auffassung, dass eine Benachrichtigung nicht erforderlich ist, falsch. Schließlich verarbeitet der Arbeitgeber nicht nur Daten von Arbeitnehmern, sondern auch von anderen Unternehmen. Zum Beispiel Vertreter von Gegenparteien beim Erhalt von Vollmachten oder Mitarbeiter anderer Unternehmen, die derselben Gruppe wie der Arbeitgeber angehören. In solchen Fällen wird empfohlen, eine Benachrichtigung an Roskomnadzor zu senden.

In welcher Form sollte Roskomnadzor benachrichtigt werden?

Geben Sie in der Meldung Informationen zu den personenbezogenen Daten der Mitarbeiter an (Ziffer 7 der vorläufigen Empfehlungen zum Ausfüllen des Meldeformulars, genehmigt von Roskomnadzor am 30. Dezember 2014). Ausnahmen gemäß Teil 2 der Kunst. 22 des Gesetzes Nr. 152-FZ sind in diesem Fall nicht anwendbar.

Roskomnadzor trägt die Informationen aus der Meldung innerhalb von 30 Tagen nach Erhalt des Dokuments in das Betreiberregister ein. Dafür muss kein Geld gezahlt werden (Teil 4, Teil 5 von Artikel 22 des Gesetzes Nr. 152-FZ).

Arbeitgeber, die Roskomnadzor nicht benachrichtigt haben, riskieren, einen Brief von Beamten zu erhalten. Als Reaktion darauf muss der Arbeitgeber eine Mitteilung senden oder die Gründe für die Nichtzusendung begründen. Im letzteren Fall steigt das Risiko, dass Roskomnadzor die Gültigkeit dieser Art von Begründung überprüft. So hat Roskomnadzor laut Jahresbericht 2014 mehr als 58.000 solcher Briefe an Betreiber verschickt (