L'entreprise ne peut se passer d'obtenir des informations personnelles auprès des employés, des clients et des sous-traitants. Nous avons besoin de noms, d'adresses et d'autres informations. Toutefois, la société a le droit de traiter les données personnelles uniquement à des fins spécifiques. Toute autre utilisation des données constitue une violation qui entraînera des mesures administratives.
Dans le cadre de ses activités commerciales, une entreprise traite des informations qui doivent être protégées. Les informations confidentielles comprennent des informations sur les technologies, les projets, les développements, les spécificités des transactions, etc. La loi exige également la protection des informations sur les personnes qui travaillent pour l'entreprise, sont ses clients ou représentent des contreparties. Le « Sur les données personnelles » est en vigueur en application du principe constitutionnel de protection de la vie privée (article 2 de la loi n° 152). Les exigences de la loi s'appliquent à toutes les organisations qui reçoivent des données de leurs sujets (article 1 de la loi n° 152).
Une entreprise qui commence à traiter des données personnelles a le droit de les demander uniquement à certaines fins (partie 2 de l'article 5 de la loi n° 152). De plus, le volume de données dépend des objectifs. Vous ne pouvez pas demander des informations dont l'entreprise n'a pas besoin (parties 4 et 5 de l'article 5 de la loi n° 152). Par exemple, une boutique en ligne n'a pas le droit d'exiger des données de passeport de l'acheteur ou de demander d'indiquer une adresse postale si le client récupère la marchandise en auto-ramassage.
La raison exacte pour laquelle les informations étaient nécessaires est déterminée par l'entreprise (clause 2, article 3 de la loi n° 152). En règle générale, une organisation demande les données personnelles de ses clients, sous-traitants et employés aux fins de :
L'entreprise est tenue d'informer l'employé ou le client de la finalité pour laquelle elle demande le traitement de ses données personnelles (clause 4, partie 4, article 9 de la loi n° 152). Cela se fait dans le cadre de l’obtention du consentement à fournir des informations. La liste des objectifs doit :
Par exemple, une banque demande des informations à un client. La finalité du traitement est de gérer son compte, notamment :
Un autre exemple d’information est la liste des finalités du traitement des données personnelles des salariés dans la politique de l’entreprise. L'organisme précise que les informations sont utilisées :
Le consentement au traitement doit être obtenu de la personne concernée dans presque tous les cas. Si le but de la collecte est de promouvoir l'entreprise sur le marché ou de faire de la propagande politique, l'opérateur est tenu de prouver que la personne a donné son consentement (partie 1, article 15 de la loi n° 152). Dans le cas contraire, on considère que cela n'a pas été demandé.
En plus de l'accord avec l'employé ou le client, les finalités d'obtention des données doivent être reflétées dans un document spécial - la politique de l'entreprise relative à l'utilisation de ces données. Il doit s'agir d'un document public. En règle générale, il est publié sur le site Internet de l’organisation dans une section spéciale.
Un système d'aide professionnel pour les avocats dans lequel vous trouverez la réponse à toutes les questions, même les plus complexes.
Réalisé sur la base du respect des lois et autres réglementations.
Qu'est-ce que le traitement des données personnelles ? Ce processus comprend les étapes suivantes :
La réglementation légale du travail avec les données personnelles couvre tous les processus et étapes de leur utilisation.
Pourquoi le traitement des données personnelles est-il nécessaire ? Le traitement des données personnelles d’un employé est effectué au sein de l’entreprise ou de l’organisation afin de le faciliter.
Les principales finalités du traitement des données personnelles :
La législation prévoit l’accumulation et la transmission des données personnelles d’un salarié aux seules fins de son développement et de l’utilisation appropriée de ses capacités et de son expérience. , inclure des objectifs multifonctionnels.
Les finalités du traitement des données personnelles des salariés comprennent l’utilisation et le traitement des données personnelles à travers leur synthèse et leur interrelation, qui déterminent la pertinence des capacités de l’employé dans les conditions d’organisation du processus de production.
Les objectifs fixés et déclarés pour le traitement des données personnelles ne peuvent être modifiés sans en informer l'employé.
Les données personnelles désignent des informations contenant des informations de base sur une personne intéressant un certain cercle de représentants du gouvernement et d'autres services.
En particulier, en production (dans une organisation), les données personnelles intéressent l'employeur, qui gère l'organisation du travail en production à partir des informations sur ses salariés.
L’employeur a le droit de demander toutes les données personnelles disponibles dans les dossiers du salarié. En plus de lui, l'accès aux données personnelles est réservé à un cercle limité de personnes effectuant un travail opérationnel. En règle générale, il s'agit des employés du secrétariat et du service du personnel.
L'opérateur effectuant des activités d'information avec des données personnelles suit des instructions avant de commencer le travail désigné. Il prend connaissance des règles de fonctionnement et des principes interdisant la divulgation des informations contenues dans les données personnelles.
La mise en œuvre des types de travaux énumérés peut poursuivre exclusivement les finalités qui ont motivé la collecte d'informations. L'utilisation abusive des données personnelles ou leur divulgation est considérée comme une violation grave engageant la responsabilité.
Comme indiqué précédemment, les violations dans le traitement des données personnelles sont considérées :
Le travail de l’opérateur avec les données personnelles est soumis à un contrôle strict par les services autorisés, et l’opérateur est tenu responsable des manquements, des violations involontaires ou délibérées.
Toute action non autorisée lors du traitement des données personnelles peut entraîner des sanctions : disciplinaires, administratives et dans certains cas pénales.
Depuis la fin de l'été, la loi relative aux données personnelles est en vigueur dans une nouvelle version. Les règles d'obtention et de protection des informations ont changé. Pour l'employeur, cela ne signifie qu'une chose : des formalités administratives supplémentaires. Dans cet article, nous expliquerons comment élaborer des réglementations sur le travail avec les données personnelles des employés et nommer une personne responsable de l'organisation du travail avec les données personnelles.
La loi fédérale n° 152-FZ du 27 juillet 2006 « sur les données personnelles » (ci-après dénommée la loi n° 152-FZ) définit Informations personnelles comme toute information directement ou indirectement liée à un individu (au sujet des données personnelles). Ceci est indiqué au paragraphe 1 de l'art. 3 de la loi n° 152-FZ.
Selon la partie 1 de l'art. 85 du Code du travail, les données personnelles d'un salarié désignent les informations relatives à un salarié spécifique, qui sont nécessaires à l'employeur dans le cadre des relations de travail. Nous parlons de données telles que :
La liste des documents personnels contenant les données personnelles des salariés est donnée dans le tableau. 1 à la p. 76.
Tableau 1. Documents contenant des données personnelles des employés
N | Document | Intelligence |
1 | Questionnaire, autobiographie, personnel fiche du dossier du personnel (à compléter lors de l'admission à travail) |
Informations personnelles et biographiques employé |
2 | Copie du document, document d'identification employé |
Nom complet, date de naissance, adresse enregistrement, état civil, composition familiale |
3 | Carte personnelle (formulaire N T-2, approuvé par la résolution Goskomstat de Russie du 05/01/2004 N 1) |
NOM ET PRÉNOM. employé, lieu de naissance, la composition de la famille, l'éducation et détails du document d'identification personnalité |
4 | Antécédents professionnels | Informations sur l'expérience professionnelle antérieure Lieux de travail |
5 | Copies des certificats de conclusion mariage, naissance d'enfants |
Composition familiale, changements dans la famille position |
6 | Documents d'enregistrement militaire | Informations sur l’attitude de l’employé à l’égard devoir militaire requis à l'employeur de mettre en œuvre enregistrement militaire des employés |
7 | Attestation de revenus des années précédentes Lieux de travail |
Nom complet, informations sur le montant des revenus et retenu à l'impôt sur le revenu des personnes physiques |
8 | Documents pédagogiques | Confirme les qualifications du salarié, justifier l'occupation d'un certain postes |
9 | Documents obligatoires assurance retraite |
Nom complet, données personnelles |
10 | Contrat de travail | Informations sur le poste du salarié, salaire, lieu de travail, lieu de travail, ainsi que d'autres données personnelles des employés |
11 | Commandes de personnel | Informations sur l'admission, le transfert, licenciement et autres événements, liés aux activités de travail employé |
Selon la loi N 152-FZ, la personne (morale ou physique) qui organise et (ou) effectue le traitement des données personnelles, détermine sa composition, les finalités du traitement et les actions réalisées avec les données personnelles est appelée opérateur(Clause 2 de l'article 3 de la loi n° 152-FZ). Dans notre cas, il s'agit de l'employeur.
Traitement des données personnelles- toute action effectuée avec eux. Opérations de traitement des données personnelles :
La procédure de traitement des données personnelles par l'opérateur peut être établie dans le Règlement sur le travail avec les données personnelles des employés (ci-après dénommé le Règlement). Il n'existe pas de forme unifiée du document. Voyons comment rédiger ce document en tenant compte des exigences de la loi N 152-FZ. Le règlement comprend plusieurs sections. Ils sont présentés sous forme de tableau. 2. Il indique également brièvement les informations que les sections doivent contenir. Des informations détaillées sont présentées dans un fragment du Règlement sur les données personnelles des salariés, qui figure à la p. 80.
Tableau 2. Structure de la réglementation sur les données personnelles des salariés
N | Devoir | Contenu des sections |
1 | Dispositions générales | Objectif de l'adoption du Règlement |
Questions régies par le Règlement | ||
Liens vers la réglementation. Pointer vers sur la base de quels documents est-il établi ? Position. Dans les organisations où travaillent des représentants du gouvernement fonctionnaires, il est fait référence à : - Loi fédérale du 27 juillet 2004 N 79-FZ "Sur la fonction publique d'État de la Russie Fédération"; - Décret du Président de la Fédération de Russie du 30 mai 2005 N 609 « Sur approbation du Règlement sur les données personnelles fonctionnaire de l'état Fédération de Russie et la gestion de son personnel affaires"; - actes réglementaires d'une entité constitutive de la Fédération de Russie |
||
2 | Concepts de base. Composition du personnel données des employés |
Concepts de base. Des définitions de concepts sont données "données personnelles", "traitement de données personnelles données", "utilisation des données personnelles", la durée de conservation des documents, etc. est indiquée. Il faut indiquer séparément ce qui s'applique à données personnelles dans une entreprise spécifique avec en tenant compte de ses caractéristiques (données utilisées dans travail, par exemple, des informations sur le travail sur des objets, lors de l'obtention de l'accès à secret d'état, sur le respect des règles sanitaires pour les métiers associés aux lourds et nocifs conditions, etc.) |
Liste des documents de l'organisation qui contenir des données personnelles |
||
3 | Reçu données personnelles ouvriers |
Procédure d'obtention de données personnelles. Indique que les données sont reçues et traitées sur la base du consentement écrit du salarié. Indique les cas où le consentement n'est pas requis |
4 | Usage données personnelles |
Finalités de l’utilisation des informations personnelles des employés |
5 | Traitement données personnelles |
Conditions observées lors du traitement des données personnelles données des employés |
6 | Diffuser données personnelles (Accès à données personnelles) |
La procédure de transfert des données personnelles en interne organisations (accès interne), tiers et agences gouvernementales (accès externe) |
7 | Responsabilité pour violation des normes, régulateur traitement et protection données personnelles |
Identifie les personnes responsables violation des règles de stockage et d'utilisation données personnelles |
Introduction du Règlement en vigueur
Le règlement sur les données personnelles est approuvé par le chef d'entreprise et mis en œuvre par arrêté de l'organisation (un exemple est donné à la p. 90). Un procès-verbal d'approbation du Règlement doit être consigné dans le registre des réglementations locales.
Si l'entreprise dispose d'un syndicat, le règlement doit être convenu avec celui-ci. Pour ce faire, le projet de règlement est envoyé à l'organe élu du syndicat (article 372 du Code du travail de la Fédération de Russie). Il doit exprimer son avis (par écrit) au plus tard cinq jours ouvrables à compter de la date de réception du projet. Si le syndicat n'est pas d'accord avec le projet ou a des propositions pour son amélioration, l'administration a deux options. La première est d’être d’accord. La deuxième consiste à mener des consultations supplémentaires avec le syndicat dans les trois jours suivant la réception d'un avis motivé afin de parvenir à une solution mutuellement acceptable. Si cela ne résout pas le problème, un protocole de désaccord doit être rédigé. Après cela, l'administration a le droit d'adopter le règlement sans tenir compte des revendications du syndicat. Il pourra toutefois faire appel du Règlement ou entamer la procédure de conflit collectif du travail de la manière prescrite par le Chapitre. 61 Code du travail.
Les employés doivent connaître le Règlement contre signature (clause 8 de l'article 86 du Code du travail de la Fédération de Russie). Ce fait peut être enregistré :
Exemple de fiche pour se familiariser avec les réglementations locales
N p/p |
Nom de l'acte réglementaire local | date | Signature |
1 | Règlement intérieur du travail SARL "Forêt Noire" |
03.10.2011 | Evstakhov |
2 | Règlements sur les rémunérations, primes et sécurité sociale des salariés de Cherny LLC forêt" |
03.10.2011 |
Evstakhov |
3 | Consignes de sécurité des informations, approuvé par Arrêté du 15 juin 2008 N 1 |
03.10.2011 | Evstakhov |
4 | Déclaration sur les données personnelles | 03.10.2011 | Evstakhov |
5 | Provision de responsabilité travailleurs pour les dommages causés à la SARL Forêt-Noire |
03.10.2011 | Evstakhov |
Fragment du journal d'introductionRèglementssur les données personnelles
Note. Durée de conservation des données personnelles
Les réglementations locales (règlements, instructions) sur les données personnelles doivent être conservées en permanence. Quant aux déclarations de consentement des salariés au traitement des données (elles seront abordées dans les prochains numéros), et autres documents des salariés, ils sont conservés pendant 75 ans. Ceci est indiqué dans la liste approuvée par arrêté du ministère de la Culture de Russie du 25 août 2010 N 558.
Les mesures de responsabilité administrative (principalement des amendes sont prévues, la disqualification n'est pas appliquée dans ce cas) pour une entreprise et ses fonctionnaires en cas de violation de la procédure de réception, de traitement, de stockage et de protection des données personnelles des employés sont indiquées dans le tableau. 3.
Tableau 3. Responsabilité en cas de violation de la procédure d'obtention, de traitement, de stockage et de protection des données personnelles des salariés
Conformément à la partie 2 de l'art. 85 Code du travail de la Fédération de Russie traitement des données personnelles des salariés - il s’agit de la réception, du stockage, de la combinaison, du transfert ou de toute autre utilisation des données personnelles de l’employé.
Le traitement des données personnelles d'un employé peut être effectué uniquement dans le but d'assurer le respect des lois et autres réglementations, d'aider l'employé dans l'emploi, la formation et la promotion, d'assurer la sécurité du capital, ainsi que de contrôler la quantité et la qualité du travail. il effectue et assure la sécurité des biens (clause 1, article 86 du Code du travail de la Fédération de Russie).
Selon le paragraphe 3 de l'art. 3 de la loi fédérale « sur les données personnelles », le traitement des données personnelles désigne des actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation. , blocage , destruction des données personnelles. Il convient de garder à l'esprit que quel que soit le nombre d'opérations fonctionnelles énumérées dans la législation, la réglementation légale doit couvrir toutes les étapes du traitement des données personnelles - de la réception à la destruction, sans aucune exception ni exemption.
Les principes de traitement des données personnelles sont les suivants :
Le traitement des données personnelles d’un employé commence dès sa réception. En règle générale, toutes les données personnelles doivent être obtenues auprès du salarié lui-même. Dans des cas exceptionnels, lorsque les données personnelles de l’employé ne peuvent être obtenues que auprès d’un tiers, l’employé doit en être informé au préalable et son consentement écrit doit être obtenu. L'employeur est tenu d'informer l'employé des finalités, des sources et des méthodes d'obtention des données personnelles, ainsi que de la nature des données personnelles à recevoir et des conséquences du refus de l'employé de donner son consentement écrit pour les recevoir (article 3 de l'article 86 du Code du travail de la Fédération de Russie). Toutefois, l’employeur n’a pas le droit de recevoir et de traiter les données personnelles de l’employé concernant ses convictions politiques, religieuses et autres, ainsi que sa vie privée (clause 4 de l’article 86 du Code du travail de la Fédération de Russie). En outre, l’employeur ne peut pas demander d’informations sur l’état de santé de l’employé si cela ne concerne pas la question de la capacité de l’employé à exercer une fonction professionnelle (article 88 du Code du travail de la Fédération de Russie).
Le Code du travail de la Fédération de Russie impose certaines exigences concernant l'organisation et la technologie du traitement des données personnelles par l'employeur. L'obligation de familiariser les salariés et leurs représentants, contre signature, avec les documents de l'employeur fixant la procédure de traitement des données personnelles des salariés, ainsi que leurs droits et responsabilités en la matière, présuppose la nécessité d'élaborer et d'adopter un acte juridique réglementaire local approprié. . Un tel acte, selon les spécificités de l'activité et la discrétion de l'employeur, peut être qualifié de règlement ou d'instruction et, en règle générale, comprend les sections suivantes :
Un tel acte juridique réglementaire local détermine le régime de confidentialité (accès limité) des données personnelles d’un employé chez un employeur particulier. Les salariés de l'employeur qui reçoivent les données personnelles du salarié sont tenus de respecter ce régime, qui doit être indiqué non seulement dans leurs descriptions de poste, mais également dans les contrats de travail conclus avec eux. Le règlement (instruction) sur la protection des données personnelles est le document principal reflétant les spécificités du traitement et du transfert des données personnelles d'un employé au sein d'une organisation spécifique, pour un entrepreneur individuel spécifique. S'il existe une composante automatisée dans cette activité, l'employeur n'a pas le droit de prendre des décisions concernant le salarié sur la base des données personnelles obtenues uniquement à la suite de leur traitement automatisé ou de leur réception électronique (clause 6 de l'article 86 du Code du travail de La fédération Russe). Un employeur ne peut se limiter à adopter une disposition relative à la protection des données personnelles des salariés de son organisation. Cependant, la présence de cette loi locale est obligatoire et son absence est considérée par l'inspection du travail de l'État comme une violation grave de la législation du travail.
Pour cette violation et d'autres violations des règles régissant la réception, le traitement et le salarié, l'employeur peut engager la responsabilité matérielle et disciplinaire des auteurs et les organismes gouvernementaux compétents la responsabilité civile, administrative et pénale.
Ces informations sont toute action ou opération portant sur les données personnelles du sujet : collecte, enregistrement, systématisation, accumulation, stockage, clarification, extraction, utilisation, transfert, dépersonnalisation, blocage, suppression, destruction.
Les informations sur l’état de santé d’un citoyen appartiennent à une catégorie particulière de données personnelles. Conformément à la partie 2, clause 4, art. 10 Loi fédérale n° 152, le traitement de ces informations est autorisé sans le consentement du sujet, à condition qu'il soit effectué aux fins de :
Cette règle s'applique aux situations dans lesquelles le traitement est effectué par un médecin professionnel tenu au secret médical conformément à la législation de la Fédération de Russie.
L'exception concerne les situations où il est impossible d'obtenir le consentement, mais est nécessaire pour protéger la vie ou la santé du patient.
Si une personne utilise un service - conclut un accord, demande un prêt - c'est-à-dire qu'elle est client, les informations personnelles la concernant peuvent également être traitées conformément à la loi fédérale n° 152.
Les données clients peuvent être utilisées pour :
L'employeur a droit à ses salariés, c'est inscrit dans l'art. 22 Loi fédérale n° 152. Finalités du traitement des données personnelles dans l'organisation :
(Article 86 du « Code du travail de la Fédération de Russie » du 30 décembre 2001 n° 197-FZ). Les informations personnelles d'un salarié classé « spécial » ne font pas l'objet d'un traitement par l'employeur.
La durée de validité du consentement au traitement des données personnelles doit être établie ; il peut s'agir d'une date ou d'un événement précis, par exemple le licenciement ou le retrait du consentement par un employé.
Banque "Financière" La finalité du traitement des données personnelles du client est d’effectuer des opérations bancaires et autres, y compris:
Organisation médicale "Santé". Finalité du traitement :
Avec un client ou un patient, tout n’est pas aussi simple qu’il y paraît à première vue. De cette manière, sans consentement ni avertissement, ils ne peuvent être cédés à des tiers ni utilisés à des fins avec lesquelles le sujet n'est pas d'accord. Si une personne est confrontée au fait que ses données personnelles ont été divulguées, elle peut toujours contacter Roskomnadzor ou le tribunal.
Vous n'avez pas trouvé la réponse à votre question ? Découvrir, comment résoudre exactement votre problème - appelez dès maintenant :