Cum se păstrează datele personale

Companiile sunt verificate pentru stocarea corespunzătoare și prelucrarea datelor cu caracter personal ale salariaților. Am pregătit recomandări practice pentru a armoniza activitățile Societății, în conformitate cu cerințele legale și să se pregătească pentru inspecții posibile.

În anul următor - pe deplin înarmat

De-a lungul ultimilor șase ani, legiuitorul a atras atenția în repetate rânduri problema protecției datelor cu caracter personal ale cetățenilor din România. În acest timp, o lege a fost adoptată „privind datele personale“, a modificat Codul Muncii, care reglementează problema protecției datelor personale ale salariatului, a introdus o serie de acte generale, pe care fiecare membru al relațiilor care apar în transmiterea datelor cu caracter personal, ar trebui să fie ghidate.

Interesul sporit al statului pentru susținerea de reglementare a protecției datelor cu caracter personal se datorează unui număr mare de cazuri de fraudă din partea operatorilor lipsiți de scrupule care lucrează cu date personale și de a preveni scurgerea acestor informații și utilizarea necorespunzătoare ulterioară de către infractori.

Adoptarea și punerea în aplicare a regulamentului menționat mai sus înseamnă, de fapt dorința statului de a trece de la reglementarea normativă a problemelor de protecție a datelor cu caracter personal unei acțiuni active „militare“, și anume de a efectua inspecții, în scopul de a identifica încălcări ale cerințelor legislației în vigoare și aplicarea măsurilor de responsabilitate operatorilor.

Ne pregătim pentru cel mai rău - speranță pentru cel mai bun

- singurul operator care prelucrează date cu caracter personal, în scopul de a îndeplini cerințele legislației muncii (adică, în cursul raportului de muncă dintre angajat și angajator), și / sau:

În plus, ținând seama de statutul juridic al organizației dumneavoastră și ghidați de legislația în vigoare, ar trebui să fie luate următoarele măsuri.

Dacă sunteți un operator - angajatorul

În capitolul 14 din Codul Muncii prevede în mod clar prezența obligatorie a fiecărei întreprinderi locale regulament intern care reglementează utilizarea și stocarea datelor cu caracter personal (art. 87 din RF LC).

De regulă, acest document servește ca Regulamentul privind protecția datelor cu caracter personal ale lucrătorilor (în continuare - «Regulamentul»), dar, în general îi este permis să includă secțiunea corespunzătoare a reglementărilor interne.

Scopul acestui document este de a defini măsurile obiective de protecție a datelor cu caracter personal ale angajaților în prelucrarea acestora, condițiile de păstrare, condițiile de acces al angajaților la astfel de date, drepturile și obligațiile angajaților și angajatorilor în ceea ce privește problema utilizării datelor cu caracter personal ale fiecărui angajat în parte.

Desigur, toate condițiile de mai sus de date cu caracter personal trebuie să fie definite în strictă conformitate cu prevederile Codului muncii, Legea „Cu privire la datele cu caracter personal“ și cerințele statutului asociației, a căror listă este dată mai sus.

Deoarece acest regulament locale este obligatorie pentru fiecare angajator și TKRumyniyasoderzhit indicarea directă a dreptului lucrătorilor de a participa la dezvoltarea de garanții pentru asigurarea sistemului asociat cu protecția datelor cu caracter personal, desigur, necesare pentru a informa fiecare lucrător angajat la companie, cu acest document. Mai mult decât atât, în conformitate cu articolul 68 TKRumyniyakazhdy a primit un candidat de locuri de muncă trebuie să fie, de asemenea, familiarizat cu condițiile de datele sale cu caracter personal de prelucrare înainte de încheierea unui contract de muncă.

Documentul care confirmă familiarizarea angajaților cu regulamentele, pot fi fie un lucrător primire separat, dintre care forma trebuie să fie specificată ca parte integrantă din regulament, sau puteți utiliza alte moduri de a familiariza angajații cu documentele de reglementare locale (în continuare - „LAD“), organizațiile care se aplică un anumit angajator (de exemplu, referința la revista LAD, foaie de referință LDF, etc ...).

De asemenea, în poziția de a avea de a stabili lista funcționarilor organizației, cu acces la datele personale ale angajaților (desigur, pentru a-și îndeplini sarcinile) și să furnizeze o formă a unui document (de exemplu, „acord de non-divulgare“) că fiecare dintre acești funcționari ar trebui să fie semneze pentru a confirma înțelegerea responsabilității lor, în cazul în care dezvăluirea informațiilor respective. În întocmirea listei persoanelor admise la informațiile de această natură, este necesar să se precizeze nu numai rang și fișier lucrătorilor - artiști (cum ar fi manager de resurse umane, contabili personal, avocați), dar, de asemenea, pentru a intra șefii de departamente ale companiei, inclusiv pe directorul general.

Astfel, prin oferirea de angajați să se familiarizeze cu LDF, spune-le în prealabil și să obțină consimțământul lor de a utiliza datele lor cu caracter personal în scopuri comerciale ale companiei.

Cu toate acestea, obligația de a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora și pentru a proteja împotriva accesului neautorizat de către terți, în organizarea stocarea datelor cu caracter personal este clar definit de legislația în vigoare. Prin urmare, fiecare operator - angajatorii trebuie să se asigure că mijloacele tehnice de protecție, cum ar fi: disponibilitatea unui seif cu cod de acces (și / sau dulapuri, blocabil, și / sau camere individuale, blocate cu o cheie sau un cod corespunzător - pentru datele cu caracter personal prelucrate fără utilizarea echipamente de automatizare). Informații despre cheia de cod sau de acces ar trebui să li se permită să lucreze doar cu datele personale ale persoanelor.

date cu caracter personal, la rândul lor, sunt prelucrate în sisteme informatice (de fapt, ea toate bazele de date stocate pe servere sau computere hard-disk-uri, cu sau fără programe specializate), trebuie, de asemenea, să fie protejate de a pune diferite metode, inclusiv, cum ar fi:

- Punerea în aplicare a autorizației de utilizatori accesează sistemul (personalul de întreținere) la resurse informaționale, sisteme de informare și sunt asociate cu utilizarea acestuia, documentul;

- restricționarea accesului utilizatorilor la sediul în care mijloacele tehnice pentru a efectua prelucrarea datelor cu caracter personal și mass-media stocate postat;

- înregistrarea și stocarea mediilor amovibile și recursul lor, care exclude furtul, substituire și eliminare;

Ca urmare, pentru gradul de pregătire al fiecărui operator - angajator la capacitatea de a verifica conformitatea în domeniul datelor cu caracter personal de protecție a lucrătorilor cerințele legislației în viitor, necesitatea de a avea un sisteme de protecție a datelor de lucru care conțin atât mass-media fizică, fără mijloace de sisteme de automatizare și de informare, reglementate cu relevante LDF dezvoltat ținând seama de legislația în vigoare numai pe baza resurselor tehnice ale organizației dumneavoastră.

Dacă sunteți un operator-comerciant

In cazul in care nu numai angajatorul, ci și o organizație care, datorită specificului activității comerciale sau activități să primească și să prelucreze datele cu caracter personal ale persoanelor care nu sunt asociate cu dvs. de muncă sau civile-juridice relații, în plus față de măsurile organizatorice și tehnice enumerate mai sus , ar trebui, de asemenea:

- să elaboreze și să aprobe actul normativ local, care va determina nu numai metodele de prelucrare și condițiile de depozitare a datelor personale obținute, dar și scopurile pentru care sunt necesare pentru tine; în timp ce o atenție deosebită trebuie acordată distrugerea informațiilor primite și depersonalizarea;

- Articolul 22 din Legea „Cu privire la datele cu caracter personal“ stabilește o obligație pentru fiecare operator, care acționează ca atare, nu numai în ceea ce privește relația de muncă, pentru a notifica Serviciul federal de supraveghere a comunicațiilor, tehnologiei informației și a comunicațiilor în masă (Roskomnadzor) al acesteia intenția de a efectua prelucrarea datelor cu caracter personal înainte ca acestea sunt prelucrate. După o astfel de notificare în termen de 30 de zile, operatorul va fi inclusă în registrul operatorilor. Cu toate acestea, aceeași lege stabilește cazurile în care nu este necesară notificarea prelucrării datelor cu caracter personal destinate.

În plus față de toate instrucțiunile de mai sus, este important să ne amintim că fiecare companie, de regulă, există un control al accesului de intrare al persoanelor la teritoriul organizației. De obicei, obține o trecere a agenților de securitate cere dovada identității vizitatorului, și, astfel, să înceapă tratamentul unor astfel de date cu caracter personal prin efectuarea informațiile relevante într-o carte jurnal de vizitatori. Pentru procesul de legalizare, în baza actelor normative de mai sus, este necesar, de asemenea, pentru astfel de cazuri de date cu caracter personal pentru a determina modul de prelucrare stocarea informațiilor primite și eliminarea LDF relevante (de exemplu: Regulamentul serviciului de securitate, reglementarea modului de verificare și m. p.).

Auditor vine la noi!?

Revenind la reglementările administrative ale controalelor Roskomnadzor, este necesar să se ia în considerare faptul că verificările de securitate pot fi programate sau neprogramate.

În aceste controale de rutină vor fi numiți în ceea ce privește operatorii de pe listă, precum și operatori, nu este pe listă, dar implicat în prelucrarea datelor cu caracter personal.

La rândul său, inspecții neprogramate sunt posibile în cazul încălcărilor în domeniul protecției operatorilor de date cu caracter personal, ale cărei detalii pot fi obținute de către organismul de control nu numai în cursul controlului de securitate de rutină, dar în cazul primirii informațiilor de la terți, de exemplu, de la angajații companiei , organismele publice care exercită funcții legate de control.