वैयक्तिक डेटाची संकल्पना, प्रक्रिया करण्यास संमती, सार्वजनिकरित्या उपलब्ध वैयक्तिक डेटा. वैयक्तिक डेटाच्या प्रक्रियेस संमती. वैयक्तिक डेटा ऑपरेटर कोण आहेत आणि ते काय करतात?

विंडोज फोनसाठी 25.02.2019

नमस्कार!
आम्ही एक सरकारी मालकीचा उपक्रम (FSUE) आहोत, गैर-कर्मचाऱ्यांनी एक-वेळचा एक-दिवसीय पास प्राप्त करण्यासाठी त्यांच्या पासपोर्ट माहिती प्रदान करणे आवश्यक आहे.

पूर्वी, प्रक्रिया अशी दिसत होती: जर तुम्ही एखाद्या अभ्यागताला आमंत्रित केले तर तुम्ही त्याच्या डेटाची विनंती ईमेलद्वारे करा किंवा फोनद्वारे लिहा, एक्सेलमध्ये फॉर्म भरा आणि मुद्रित करा आणि स्वाक्षरीसाठी सुरक्षा रक्षकाकडे घेऊन जा, त्यानंतर ते आधीच मुद्रित केले गेले आहे. आणि चेकपॉईंटवर नेले जाते, जिथे त्याने सादर केलेल्या पासपोर्टवर अभ्यागताचा PD तपासला जातो आणि या आधारावर ते त्याला अभ्यागत पास देतात.

आम्ही एक लहान वेब ऍप्लिकेशन लिहिले आहे जे उपलब्ध आहे अंतर्गत नेटवर्कएंटरप्राइझ आणि तुम्हाला सर्व अभ्यागतांचा डेटा (पूर्ण नाव आणि वैयक्तिक डेटा दोन्ही) प्रविष्ट करण्याची परवानगी देते, परंतु त्यांना नंतर पाहण्याची आणि संपादित करण्याची परवानगी देत नाही, प्रविष्ट केलेला पासपोर्ट डेटा पाहण्याची आणि दुरुस्त करण्याची क्षमता केवळ सुरक्षा विभागाच्या कर्मचाऱ्यांसाठी उपलब्ध आहे, डेटाबेसमध्ये संग्रहित सेटिंग्जवर आधारित प्रोग्राम कोडमध्ये ऍप्लिकेशन स्तरावर प्रवेश नियंत्रण केले जाते.

स्टॅक म्हणून वापरले मायक्रोसॉफ्ट उत्पादने- IIS आणि MSSQL सर्व्हर, अनुप्रयोग ASP.NET MVC फ्रेमवर्कवर लागू केला जातो, ब्राउझर क्लायंट भाग म्हणून कार्य करतो.

सध्या, एक तृतीय-पक्ष संस्था वर्णन केलेल्या सिस्टमसाठी वैयक्तिक डेटावर प्रक्रिया करणाऱ्या इतर प्रणालींना प्रमाणित करण्यासाठी काम करत आहे, त्यांनी वापरून एक पर्याय प्रस्तावित केला आहे; मर्यादित संख्यापीसी, कारण त्यांच्या मते, प्रक्रिया pers. एंटरप्राइझच्या सर्व मशीनवर डेटा (संभाव्यपणे) येतो. म्हणजेच, ते 50 पीसी वर विशेष सॉफ्टवेअर स्थापित करण्याची ऑफर देतात आणि तयार करतात शक्य कामफक्त या मशीन्सच्या अर्जासह. आम्ही या पर्यायावर फारसे आनंदी नाही, आम्हाला कोणत्याही वापरकर्त्याला आवडेल स्थानिक नेटवर्कएंटरप्राइझला सर्व अभ्यागतांचा डेटा डेटाबेसमध्ये प्रविष्ट करण्याची संधी होती (असे गृहीत धरले जाऊ शकते की त्याच्या डेटाच्या वापरासाठी अभ्यागताची संमती उपलब्ध आहे).
इतर प्रणालींसाठी सर्व काही सोपे होते, वापरकर्त्यांचे मर्यादित वर्तुळ होते (उदाहरणार्थ, संपूर्ण लेखा विभाग), ते फक्त फायरवॉलच्या मागे वेगळ्या सबनेटमध्ये हस्तांतरित केले गेले होते, माझ्या समजल्याप्रमाणे येथे हे शक्य नाही, कारण प्रवेश नियंत्रण चालू होत नाही नेटवर्क पातळी, आणि लागू केलेल्या बाजूला, अनुप्रयोगाच्या सर्व्हर भागाच्या तर्कामध्ये.

मला वाटतं, तत्सम परिस्थितीअद्वितीय नाही, कायद्याच्या आवश्यकतांनुसार वैयक्तिक डेटाचे संरक्षण आयोजित करण्यासाठी कोणते पर्याय आहेत हे कोणी मला सांगू शकेल का, मला नियामक प्राधिकरणांना अनुकूल असलेल्या योजनांमध्ये रस आहे.

आगाऊ धन्यवाद.

P.S. मी स्पष्ट करणे विसरलो, अनेक एंटरप्राइझ पीसीना आमच्या प्रॉक्सी सर्व्हरद्वारे इंटरनेटवर प्रवेश आहे, संपूर्ण नेटवर्क डोमेन-आधारित आहे आणि अनुप्रयोगातील प्रमाणीकरण देखील डोमेन-आधारित आहे. सुरक्षित सर्व्हर प्लेसमेंटसाठी एक सर्व्हर रूम आहे; आम्हाला फक्त सॉफ्टवेअर किंवा हार्डवेअर डेटा संरक्षणाच्या पर्यायांमध्ये रस आहे.

कर्मचाऱ्याच्या वैयक्तिक डेटाचे संकलन, प्रक्रिया आणि संरक्षण कसे सुनिश्चित करावे, संस्थेतील वैयक्तिक डेटासह कोणते कायदे कार्य नियंत्रित करतात - याबद्दल लेखात चर्चा केली आहे.

लेखातून आपण शिकाल:

वैयक्तिक डेटाच्या संरक्षणासाठी आणि प्रक्रियेसाठी धोरण

विषयावरील दस्तऐवज डाउनलोड करा:

ही यादी संपूर्ण नाही. वैयक्तिक पोझिशन्स किंवा कामाच्या प्रकारांचे तपशील लक्षात घेऊन, नियोक्ता अर्जदारांकडून आरोग्य प्रमाणपत्र, तसेच गुन्हेगारी रेकॉर्ड किंवा इतर वैयक्तिक डेटाची विनंती करू शकतो. कसे ते शोधा Roskomnadzor कडून दंड टाळण्यासाठी

रशियन कायद्याच्या नियमांनुसार कर्मचारी वैयक्तिक डेटाचे संरक्षण सुनिश्चित केले जाते. स्वतंत्र मानके स्थापित करणे सामान्य ऑर्डरगोपनीय म्हणून वर्गीकृत माहितीची प्रक्रिया रशियन फेडरेशनच्या कामगार संहितेच्या कलम 86-90 मध्ये, रशियन फेडरेशनच्या फौजदारी संहितेच्या अनुच्छेद 137, 140 आणि 272 मध्ये, प्रशासकीय संहितेच्या अनुच्छेद 5.39, 13.11-13.14 मध्ये समाविष्ट आहे. रशियन फेडरेशन आणि रशियन फेडरेशनच्या नागरी संहितेच्या अनुच्छेद 150-152 आणि 946 मध्ये.

"वैयक्तिक डेटा", "वैयक्तिक माहितीची प्रक्रिया" आणि "वैयक्तिक डेटा संरक्षण" यासारख्या संकल्पनांचा पूर्णपणे अंतर्भाव करणारा एक स्वतंत्र नियामक कायदा देखील आहे. हा 27 जुलै 2006 चा फेडरल कायदा क्रमांक 152-FZ आहे. हा नियामक कायदा अपवादाशिवाय सर्व नियोक्त्यांना लागू होतो, क्रियाकलाप क्षेत्र, कर्मचारी रचना आणि एंटरप्राइझचे संस्थात्मक आणि कायदेशीर स्वरूप विचारात न घेता. कशासाठी शोधा आता दंड अधिक कडक झाला आहे.

वैयक्तिक डेटा आणि कर्मचारी वैयक्तिक डेटा संरक्षण: कायदा 152-F3

वैयक्तिक डेटा एकापुरता मर्यादित नाही एक विशिष्ट प्रकारमाहिती वैयक्तिक माहिती तीन श्रेणींमध्ये विभागली आहे:

सामान्य
विशेष
बायोमेट्रिक

वैयक्तिक डेटामध्ये खालील माहिती समाविष्ट आहे:

पात्रता पातळी;
शिक्षण आणि अनुभव;
पगाराची रक्कम;
सामाजिक किंवा मालमत्ता स्थिती;
राहण्याचे ठिकाण;
मागील कामाचे ठिकाण;
जन्मतारीख, आडनाव, आडनाव आणि कर्मचाऱ्याचे आश्रयस्थान.

अशी माहिती गोळा करताना, नियोक्ता, कायदा क्रमांक 152-FZ नुसार, ऑपरेटरची स्थिती प्राप्त करतो, कर्मचारी वैयक्तिक डेटाचा विषय मानला जातो. संकलन, प्रक्रिया आणि संरक्षण वैयक्तिक डेटाकर्मचारी कायदेशीररित्या चालते पाहिजे. एखाद्या कर्मचाऱ्याबद्दलची माहिती केवळ त्याच्याकडूनच मिळवता येते, तृतीय पक्षांद्वारे नाही. जर, काही परिस्थितींमुळे, माहिती केवळ तृतीय पक्षाकडून मिळू शकते, तर ती प्राप्त झाल्यानंतर कर्मचाऱ्याला याबद्दल आगाऊ सूचित करणे योग्य आहे. लेखी संमती. आपण स्वत: ला मौखिक करारापर्यंत मर्यादित करू शकत नाही.

संस्थेचा स्थानिक नियामक कायदा, उदाहरणार्थ कर्मचाऱ्यांच्या वैयक्तिक डेटासह काम करण्याच्या नियमांमध्ये (रशियन फेडरेशनच्या कामगार संहितेचे अनुच्छेद 8, 87, परिच्छेद 2, भाग 1, जुलै 27, 2006 च्या कायद्याचा लेख 18.1 क्र. 152-FZ).

कर्मचार्यांच्या वैयक्तिक डेटाच्या संरक्षणावरील नियमन एंटरप्राइझच्या प्रमुखाने मंजूर केले आहे. सह मानक दस्तऐवजसर्व कर्मचाऱ्यांची ओळख करून दिली जाते आणि स्वाक्षरी केली जाते. संस्था वैयक्तिक डेटासह कार्य करण्यासाठी जबाबदार व्यक्तीची नियुक्ती करते (रशियन फेडरेशनच्या श्रम संहितेच्या कलम 88 मधील भाग 5). बहुतेकदा, जबाबदार व्यक्ती ही कर्मचारी सेवा विशेषज्ञ असते, कारण त्याच्या कामाच्या दरम्यान त्याला प्रक्रियेचा सामना करावा लागतो वैयक्तिक डेटाकर्मचारी मध्ये जारी केलेल्या आदेशानुसार जबाबदार व्यक्तीची नियुक्ती केली जाते विनामूल्य फॉर्म.

वापरकर्त्यांचा वैयक्तिक डेटा संचयित आणि संरक्षित करण्याच्या प्रक्रियेवरील नियम

वैयक्तिक डेटासह कार्य करण्यासाठी जबाबदार असलेल्या व्यक्तीच्या नियुक्तीचा आदेश

रिक्त फॉर्म डाउनलोड करा
in.doc डाउनलोड करा

पूर्ण केलेला नमुना डाउनलोड करा
in.doc डाउनलोड करा

कर्मचाऱ्यांच्या वैयक्तिक डेटाचे संरक्षण करण्यासाठी माहितीचे वैयक्तिकरण

कायद्याद्वारे प्रदान केलेल्या प्रकरणांमध्ये डेटाचे अनामिकरण केले जाते. विशेषत:, राज्य आणि नगरपालिका अधिकारी माहिती प्रणालींमध्ये प्रक्रिया केलेला वैयक्तिक डेटा निनावी करतात, ज्यामध्ये कार्यरत आणि तयार केलेल्या आणि फेडरलची अंमलबजावणी सुनिश्चित करण्याच्या फ्रेमवर्कमध्ये समाविष्ट आहे. लक्ष्यित कार्यक्रम(21 मार्च 2012 क्र. 211 च्या रशियन फेडरेशनच्या सरकारच्या डिक्रीने मंजूर केलेल्या यादीच्या परिच्छेद 1 चा उपपरिच्छेद “z”).

वैयक्तिकीकरण म्हणजे मालकी निश्चित करण्यास अशक्य करणाऱ्या कृतींचा संदर्भ देते वैयक्तिक डेटाअतिरिक्त माहितीचा वापर न करता विशिष्ट व्यक्तीला (जुलै 27, 2006 क्र. 152-FZ च्या कायद्याचा अनुच्छेद 3).

संस्थेचे प्रमुख कर्मचाऱ्यांच्या वैयक्तिक डेटाचे संरक्षण करण्यासाठी अनामित डेटासह कार्य करण्याच्या मूलभूत नियमांना मान्यता देतात. वैयक्तिक डेटा अनामित करण्याची आवश्यकता संरक्षणास अनुमती देते आणि अनधिकृत प्रक्रियेस प्रतिबंध करते.

अनुशासनात्मक, सामग्री, प्रशासकीय आणि गुन्हेगारी दायित्व (रशियन फेडरेशनच्या कामगार संहितेचा अनुच्छेद 90, जुलै 27, 2006 क्रमांक 152-एफझेडच्या कायद्याच्या अनुच्छेद 24 चा भाग 1).

सध्याच्या नियमांचे उल्लंघन झाल्यास वैयक्तिक डेटासह काम करण्यासाठी जबाबदार कर्मचारी शिस्तभंगाच्या किंवा आर्थिक दायित्वाच्या अधीन असू शकतात आणि यामुळे नुकसान होऊ शकते. या उल्लंघनांसाठी तुम्हाला दंड आकारला जाईल आणि अधिकारीसंस्था

एंटरप्राइझचे प्रमुख आणि यासाठी जबाबदार व्यक्ती:

बद्दल गोपनीय माहितीचे अवैध संकलन किंवा वितरण गोपनीयताकर्मचारी, जर ही माहिती वैयक्तिक किंवा कौटुंबिक गुपित असेल;

सार्वजनिक भाषणे, सार्वजनिक कामे किंवा माध्यमांमध्ये सांगितलेल्या माहितीचा बेकायदेशीर प्रसार.

सर्व कंपन्या आणि वैयक्तिक उद्योजकांना ते वैयक्तिक डेटा ऑपरेटर आहेत की नाही आणि त्यांना स्वतःबद्दलची माहिती Roskomnadzor ला हस्तांतरित करायची आहे की नाही हे माहित नसते. सेवा कोणाचे अधिक बारकाईने निरीक्षण करत आहे आणि वैयक्तिक माहितीवर प्रक्रिया सुरू करण्याबद्दल नागरिकांना कसे सूचित करावे हे शोधूया.

वैयक्तिक डेटा ऑपरेटर कोण आहेत आणि ते काय करतात?

बहुतेक लोकांना माहित आहे की वैयक्तिक डेटा (यापुढे पीडी म्हणून संदर्भित) मध्ये आडनाव, नाव आणि नागरिकाचे आश्रयस्थान, त्याच्या पासपोर्टमधील माहिती, नंबर याविषयी माहिती समाविष्ट असते. मोबाईल फोन, निवासी पत्ता, ई-मेल. या यादीमध्ये इतर कोणती माहिती समाविष्ट केली जाऊ शकते? असे दिसून आले की कोणतीही: एक संपूर्ण यादी कोठेही सादर केलेली नाही आणि तत्त्वतः एक असू शकत नाही. मधील फॉर्म्युलेशनद्वारे याची पुष्टी केली जाते 27 जुलै 2006 चा फेडरल कायदा क्रमांक 152-एफझेड:

वैयक्तिक डेटा - प्रत्यक्ष किंवा अप्रत्यक्षपणे निर्धारित किंवा निर्धारित संबंधित कोणतीही माहिती एखाद्या व्यक्तीला(वैयक्तिक डेटाच्या विषयावर).

असे दिसून आले की काही प्रकरणांमध्ये आडनाव, नाव आणि कार क्रमांक नागरिक ओळखण्यासाठी पुरेसा असेल, तर इतरांमध्ये आपल्याला त्याच्या चालकाचा परवाना क्रमांक आणि नोंदणी पत्ता देखील आवश्यक असेल.

वैयक्तिक डेटा ऑपरेटर एक राज्य किंवा नगरपालिका संस्था, कायदेशीर संस्था किंवा व्यक्ती आहे जी:

स्वतंत्रपणे किंवा इतर व्यक्तींसोबत संयुक्तपणे वैयक्तिक डेटाची प्रक्रिया आयोजित आणि/किंवा पार पाडते;
सह काम करण्याचे उद्दिष्ट परिभाषित करते वैयक्तिक माहिती, त्याची रचना, तसेच त्याच्यासह क्रिया (ऑपरेशन्स).

म्हणजेच, जो कोणी वैयक्तिक डेटाची विनंती करतो आणि वापरतो तो त्यांचा ऑपरेटर असतो. आणि प्रत्येकजण ज्याला माहितीवर प्रवेश आहे आणि त्यावर प्रक्रिया करते ज्याद्वारे नागरिक ओळखले जाऊ शकतात ते प्रत्यक्षात वैयक्तिक डेटासह कार्य करतात आणि त्यांच्या संरक्षणावरील कायद्याचे पालन करण्यात अयशस्वी होण्यास जबाबदार असतात.

PD ऑपरेटर म्हणून कोणाचे वर्गीकरण केले जाऊ शकते याची कल्पना करूया. बँका? होय! सदस्यांबद्दल सामग्री गोळा करणाऱ्या साइट? होय! कायदेशीर आणि लेखा कंपन्या प्रदान विविध सेवा? होय! खरेदी करण्याची ऑफर देणारी दुकाने आणि सौंदर्य सलून बोनस कार्ड? होय पुन्हा! घरमालकांच्या संघटना, विद्यापीठे, बालवाडी, प्रवासी संस्था, वैद्यकीय संस्था, स्वयंचलित प्रणाली, सरकारी लोकांसह? होय, होय, होय! पीडी ऑपरेटर सर्वत्र, प्रत्येक क्षेत्रात आहेत!

वैयक्तिक डेटावर प्रक्रिया करताना ऑपरेटरची जबाबदारी

पीडीशी व्यवहार करणाऱ्या प्रत्येकाने पालन करणे आवश्यक आहे काही नियमया प्रकारच्या माहितीचे संकलन, सुरक्षा, स्पष्टीकरण, अवरोधित करणे आणि नष्ट करणे. कायदा क्रमांक 152-FZ नुसार, ऑपरेटरने हे करणे आवश्यक आहे:

वैयक्तिक डेटा ऑपरेटर म्हणून Roskomnadzor सह नोंदणी

कायद्यात असे नमूद केले आहे की वैयक्तिक माहितीसह काम सुरू करण्यापूर्वी, अधिकृत पर्यवेक्षी प्राधिकरणाशी संपर्क साधणे आणि वैयक्तिक माहितीसह काम सुरू करण्याबद्दल सूचित करणे आवश्यक आहे. याचा अर्थ असा नाही की प्रत्येक कंपनीला वैयक्तिक डेटा ऑपरेटरच्या Roskomnadzor रजिस्टरमध्ये समाविष्ट करणे आवश्यक आहे. या सूचीमध्ये समाविष्ट नाही:

नियोक्ते ते कामगार कायद्यानुसार माहिती संकलित आणि संग्रहित करतात, उदाहरणार्थ, रोजगार करार तयार करताना, विविध कर्मचारी ऑर्डर;
सेल फोन किंवा लँडलाइन कंपनी दूरध्वनी संप्रेषण, जर डेटा केवळ निष्कर्ष काढलेल्या करारांतर्गत संप्रेषण सेवांच्या तरतुदीसाठी प्राप्त केला असेल, तर तो पीडी विषयाच्या संमतीशिवाय तृतीय पक्षांना वितरित किंवा प्रदान केला जात नाही;
सार्वजनिक संघटना किंवा धार्मिक संस्था ज्या घटक दस्तऐवजांमध्ये प्रदान केलेली उद्दिष्टे साध्य करण्यासाठी त्यांच्या सदस्यांच्या (सहभागी) डेटामध्ये प्रवेश मिळवतात;
सार्वजनिकरित्या उपलब्ध माहिती वापरणाऱ्या संस्था आणि व्यक्ती ज्या वैयक्तिक डेटाच्या विषयांनी स्वतः उघड केल्या आहेत, उदाहरणार्थ, वैयक्तिक वेबसाइटवर;
पास प्रणाली चालवणाऱ्या कोणत्याही कंपन्या. एखाद्या नागरिकाचा पासपोर्ट डेटा संस्थेच्या प्रदेशात एक-वेळचा पास मिळविण्यासाठी कॉपी केला असल्यास, नोंदणी करण्याची आवश्यकता नाही;
राज्य स्वयंचलित माहिती प्रणालीच्या स्थितीसह प्रणाली, तसेच सरकारी यंत्रणाराज्याच्या सुरक्षेचे रक्षण करण्यासाठी पीडी तयार केला आहे आणि सार्वजनिक सुव्यवस्था. त्यापैकी बरेच आहेत आणि त्यापैकी एरा-ग्लोनास आणि व्यवस्थापन प्रणाली, ना-नफा आणि धार्मिक संस्थांच्या लेखाजोखासाठी एआयएस आणि फेडरल आणि प्रादेशिक स्तरावर इतर अनेक आहेत;
ऑटोमेशन टूल्स (संगणक) न वापरता माहितीवर प्रक्रिया करणारे नागरिक आणि संस्था. असे करताना, त्यांनी मंजूर केलेल्या आवश्यकतांनुसार मार्गदर्शन केले पाहिजे 15 सप्टेंबर 2008 एन 687 चा सरकारी डिक्री;
परिवहन संकुलाचे सुरक्षित ऑपरेशन सुनिश्चित करण्यासाठी डेटाची विनंती करणाऱ्या संस्था, उदाहरणार्थ, वाहक किंवा मध्यस्थांच्या ऑनलाइन सेवांसह तिकिटे बुक करताना आणि खरेदी करताना.

अशा फॉर्म्युलेशनचा विचार करून, रोस्कोमनाडझोरद्वारे देखरेख केलेल्या वैयक्तिक डेटावर प्रक्रिया करणाऱ्या ऑपरेटरच्या नोंदणीमध्ये अनेक संस्थांचा समावेश केला जात नाही. परंतु ज्यांना अपवाद लागू होत नाहीत त्यांनी नियामक प्राधिकरणाच्या यादीत असणे आवश्यक आहे.

नोंदणी प्रक्रियेमध्ये विशिष्ट फॉर्ममध्ये सूचना सबमिट करणे समाविष्ट असते. हे Roskomnadzor वैयक्तिक डेटा रजिस्टर, सरकारी सेवा पोर्टल किंवा वापरून शोधले जाऊ शकते दिनांक 21 डिसेंबर 2011 N 346 रोजी रशियाच्या दूरसंचार आणि जनसंपर्क मंत्रालयाचा आदेश. मोफत डाउनलोड आवश्यक कागदपत्रआपण ते या लेखाच्या शेवटी देखील शोधू शकता.

अधिकाऱ्यांना माहिती देण्याची पद्धत काहीही असो, अधिसूचनेने सूचित केले पाहिजे:

संस्थात्मक आणि कायदेशीर फॉर्म तसेच कायदेशीर आणि पोस्टल पत्ते, TIN दर्शविणारे कंपनीचे पूर्ण आणि संक्षिप्त नाव;
घटक दस्तऐवजांमध्ये नमूद केलेल्या किंवा प्रत्यक्षात पार पाडलेल्या प्रक्रियेचे उद्दिष्टे;
PD च्या श्रेण्या ज्यावर प्रक्रिया केली जाईल;
ज्या विषयांची पीडी प्रक्रिया करण्याचे नियोजित आहे, त्यांच्याशी असलेल्या संबंधांसह, उदाहरणार्थ, प्रवासी, कर्जदार, ग्राहक, ठेवीदार, पॉलिसीधारक;
ज्या आधारावर प्रक्रिया करण्याचा अधिकार आहे (उदाहरणार्थ, लेख रशियन फेडरेशनचा एअर कोडकिंवा नागरी स्थिती कायदानागरी स्थितीच्या कृत्यांवर), चालविल्या जाणाऱ्या क्रियाकलापांच्या प्रकारासाठी परवान्याच्या उपलब्धतेसह;
वापरलेल्या PD प्रक्रिया पद्धतींचे वर्णन आणि त्यांची यादी: मॅन्युअल, स्वयंचलित किंवा मिश्रित प्रक्रिया;
वैयक्तिक डेटाची प्रक्रिया आयोजित करण्यासाठी जबाबदार व्यक्तींबद्दल माहिती, त्यांचे दूरध्वनी क्रमांक, पोस्टल पत्ते, ईमेल;
एन्क्रिप्शन (क्रिप्टोग्राफिक) साधनांबद्दल माहिती;
प्रारंभ तारीख, तसेच पीडी प्रक्रिया समाप्त करण्यासाठी अटी आणि अटी;
डेटाच्या प्रक्रियेदरम्यान डेटा कोठे संग्रहित केला जातो याबद्दलची माहिती, ज्या देशात नागरिकांच्या वैयक्तिक डेटाबद्दल माहिती असलेले डेटाबेस आहेत रशियन फेडरेशन;
स्थापित केलेल्या आवश्यकतांनुसार वैयक्तिक डेटाची सुरक्षा सुनिश्चित करण्याबद्दल माहिती रशियन फेडरेशनच्या सरकारचा 1 नोव्हेंबर 2012 एन 1119 चा डिक्री.

कृपया लक्षात घ्या की Roskomnadzor वेबसाइटवर वैयक्तिक डेटा ऑपरेटरची नोंदणी 30 दिवसांच्या आत केली जाते. सादर केल्यास इलेक्ट्रॉनिक अनुप्रयोग, कंपनीला पाठवावे लागेल प्रादेशिक शरीरयाव्यतिरिक्त, नोटीसची कागदी प्रत. माहिती अपुरी असल्यास, अधिकारी सबमिट केलेल्या कागदपत्रांचे स्पष्टीकरण देण्यासाठी विनंती पाठवतील. सूचना स्वीकारण्यास नकार देणे आणि संस्थेची माहिती रजिस्टरमध्ये प्रविष्ट करणे अशक्य आहे.

जर, द्वारे विविध कारणे, संस्थेने पीडीवर प्रक्रिया करण्याचे उद्देश बदलले आहेत किंवा इतर बदल करणे आवश्यक आहे, 10 दिवसांच्या आत ते Roskomnadzor ला येथे एक पत्र पाठवते. विहित नमुन्यात. दस्तऐवज खाली आढळू शकते. याव्यतिरिक्त, कंपनीला रजिस्टरमधून वगळण्यासाठी आवश्यक असलेल्या दस्तऐवजाचा एक फॉर्म साइटच्या वाचकांसाठी डाउनलोड करण्यासाठी उपलब्ध आहे.

या प्रकरणात Roskomnadzor द्वारे प्रदान केलेल्या सर्व सेवा विनामूल्य आहेत.

रजिस्टरमध्ये नोंद करण्यास नकार देण्याची जबाबदारी

सध्याचे कायदे वैयक्तिक डेटा संरक्षणाच्या आवश्यकतांच्या उल्लंघनासाठी प्रशासकीय उत्तरदायित्व प्रदान करते. त्यानुसार फेडरल कायदादिनांक 02/07/2017 क्रमांक 13-FZ, जी 1 जुलै 2017 रोजी लागू झाली, मध्ये रशियन फेडरेशनच्या प्रशासकीय गुन्ह्यांच्या संहितेच्या अनुच्छेद 13.11असे अनेक गुन्हे आहेत ज्यासाठी वैयक्तिक डेटा ऑपरेटरला दंड होऊ शकतो. गुन्हा अवलंबून, साठी दंड कायदेशीर संस्थाया लेखाखाली ते 15,000 ते 75,000 रूबल आणि वैयक्तिक उद्योजकांसाठी - 5,000 ते 20,000 रूबल पर्यंत बदलतात.

रजिस्टरमध्ये नोंदणी करण्यास नकार देणे हे नियामक प्राधिकरणास माहिती प्रदान करण्यात अपयश मानले जाऊ शकते. यासाठी शिक्षेची तरतूद मध्ये आहे रशियन फेडरेशनच्या प्रशासकीय गुन्ह्यांच्या संहितेचा अनुच्छेद 19.7. त्यानुसार, अधिकाऱ्यांना 300 ते 500 रूबल आणि कायदेशीर संस्था - 3,000 ते 5,000 रूबलपर्यंत दंड आकारला जातो.

वैयक्तिक डेटावरील कायद्याच्या उल्लंघनाबाबत. ते 1 जुलै 2017 रोजी लागू होतील आणि कोणताही वैयक्तिक डेटा संकलित, प्रक्रिया आणि संचयित करणाऱ्या प्रत्येकावर परिणाम करतील.

उल्लंघनाच्या प्रकारानुसार दंड विभागण्यात आला आणि दहापट वाढ झाली. उदाहरणार्थ, आपण वेबसाइटवर गोपनीयता धोरण पोस्ट न केल्यास, वैयक्तिक उद्योजकांना 10 हजार रूबल आणि कंपनीला 30 हजार दंड केला जाऊ शकतो. आणि जर तुम्ही ऑनलाइन स्टोअर क्लायंट किंवा सदस्याच्या संमतीशिवाय वैयक्तिक डेटावर प्रक्रिया करत असाल माहिती अभ्यासक्रम, तर कायदेशीर घटकासाठी दंड 75 हजार रूबल पर्यंत असेल. एखाद्या कंपनीच्या संचालकाला किंवा उद्योजकाला 20 हजारांपर्यंत भरावे लागणार आहे. अनेक उल्लंघन असल्यास, अनेक दंड आकारले जातील.

तुम्हाला तातडीने तुमच्या वेबसाइट्स व्यवस्थित करण्याची आवश्यकता आहे. तपासण्या आधीच सुरू आहेत 💻

सध्या, केवळ फिर्यादी कार्यालय उल्लंघनाचे प्रोटोकॉल जारी करू शकते. दंड उल्लंघनाच्या प्रकारावर अवलंबून नाही आणि वैयक्तिक उद्योजक किंवा संचालकासाठी जास्तीत जास्त 1000 रूबल आणि कायदेशीर घटकासाठी - 10 हजार रूबल आहे. प्रक्रियेस बराच वेळ लागतो, दंड लहान असतो, म्हणून ते क्वचितच तपासतात आणि प्रत्येकजण नाही.

मी वैयक्तिक डेटा नियंत्रक आहे की नाही हे कसे शोधायचे?

वैयक्तिक डेटा हा एखाद्या व्यक्तीबद्दलचा कोणताही डेटा असतो ज्याद्वारे त्याला ओळखले जाऊ शकते. कायद्यामध्ये अशा डेटाची सूची नाही, म्हणून तुम्हाला स्वतःसाठी अंदाज लावावा लागेल. उदाहरणार्थ, नाव किंवा लॉगिनद्वारे तो कोणत्या प्रकारची व्यक्ती आहे हे समजणे अशक्य आहे, परंतु नाव आणि फोन नंबर किंवा नाव आणि ईमेलद्वारे - आपण हे करू शकता.

बहुधा, तुम्ही वैयक्तिक डेटा ऑपरेटर आहात जर तुम्हाला कोणत्याही संयोगातील कोणत्याही लोकांकडून खालील माहिती प्राप्त झाली:

आडनाव
आडनाव,
काही भौतिक पत्ता,
ईमेल,
दूरध्वनी
तारीख किंवा जन्म ठिकाण,
छायाचित्र,
वैयक्तिक वेबसाइट किंवा सोशल नेटवर्कशी दुवा,
व्यवसाय,
शिक्षण,
उत्पन्न पातळी,
वैवाहिक स्थिती.

याचा अर्थ असा की ज्या साइट्सचे सर्व मालक आहेत वैयक्तिक खाती, फॉर्म अभिप्राय, सदस्यता किंवा नोंदणी, जिथे तुम्ही काहीतरी खरेदी करू शकता, जाहिरात देऊ शकता, फॉर्म भरू शकता, वैयक्तिक डेटाचे ऑपरेटर आहेत. जरी साइटवर कॉल ऑर्डर करण्यासाठी किंवा संदेश पाठविण्यासाठी फक्त बटण असले तरीही, ही वैयक्तिक डेटाची प्रक्रिया देखील आहे.

आणि जर मी डेटिंग साइटवर मित्राचा फोन नंबर किंवा मुलीचा ईमेल रेकॉर्ड केला तर मला या कायद्याचे पालन करण्याची आवश्यकता आहे का?

नाही, ते आवश्यक नाही. कायदा वैयक्तिक आणि कौटुंबिक गरजांसाठी डेटावर लागू होत नाही. परंतु जर तुम्ही एखाद्या मित्राचा फोन नंबर कर्ज वसूल करणाऱ्यांकडे दिला असेल किंवा एखाद्या मुलीच्या ईमेल पत्त्यासह एखादी जाहिरात मिस्त्रोग्निस्ट फोरमवर प्रकाशित केली असेल तर हे आधीच उल्लंघन आहे.

कायदा मोडू नये म्हणून वैयक्तिक डेटासह योग्यरित्या कसे कार्य करावे?

कमीतकमी आपल्याला आवश्यक आहे:

वैयक्तिक डेटाच्या प्रक्रिया, संचयन आणि वितरणासाठी प्रत्येक अभ्यागत, क्लायंट किंवा ग्राहकांकडून लेखी संमती मिळवा;
मध्ये प्रकाशित करा खुला प्रवेशक्लायंट आणि अभ्यागतांच्या वैयक्तिक डेटाशी संबंधित प्रत्येक गोष्टीची माहिती;
विशिष्ट हेतूसाठी आवश्यक असलेल्या डेटाचीच विनंती करा. उदाहरणार्थ, तुम्ही विचारू शकत नाही घरचा पत्ताकिंवा ईमेल वृत्तपत्राची सदस्यता घेण्यासाठी पासपोर्ट डेटा;
केवळ कागदपत्रांमध्ये निर्दिष्ट केलेल्या उद्देशांसाठी डेटा वापरा आणि ज्याबद्दल व्यक्तीला चेतावणी दिली गेली होती;
एखाद्या व्यक्तीच्या विनंतीनुसार, आपल्याकडे त्याच्याबद्दल कोणता डेटा आहे, तो कसा आणि का प्रक्रिया केला जातो आणि आपण तो कोणाकडे हस्तांतरित केला आहे याची माहिती द्या;
डिलीट करा, विनंती केल्यावर, सवलत आणि जाहिरातींबद्दल माहिती पाठवण्यासाठी वापरला जाणारा डेटा;
डेटाबेस सुरक्षित ठिकाणी संग्रहित करा, त्यांना हॅकिंग आणि गळतीपासून संरक्षण करा;
कर्मचार्यांना वैयक्तिक डेटासह कार्य करण्यास प्रशिक्षित करा;
Roskomnadzor सह नोंदणी करा.

काय? मी इतरत्र नोंदणी करावी का?

होय, कायद्यानुसार, वैयक्तिक डेटा ऑपरेटरने Roskomnadzor ला सूचित करणे आवश्यक आहे. शिवाय, डेटा प्रक्रिया सुरू होण्यापूर्वी किंवा शक्य तितक्या लवकर हे करणे आवश्यक आहे. Roskomnadzor ऑपरेटर बद्दल माहिती प्रविष्ट करेल सामान्य नोंदणीआणि विनंती केल्यावर जारी करेल.

सूचना सबमिट केली जाऊ शकत नाही जर:

केवळ कर्मचारी डेटावर प्रक्रिया केली जाते;
वैयक्तिक डेटा केवळ एका विशिष्ट कराराच्या अंमलबजावणीसाठी प्राप्त केला गेला विशिष्ट व्यक्तीआणि यापुढे वापरला जाणार नाही, खूप कमी वितरित;
व्यक्तीने स्वतः हा डेटा प्रकाशित केला सार्वजनिक प्रवेश;
तुमच्याकडे फक्त क्लायंटचे पूर्ण नाव आहे आणि दुसरे काही नाही.

माझ्याकडे एक वेबसाइट आहे आणि मला वैयक्तिक डेटा मिळतो. मी काय करावे?

तुम्ही अद्याप काहीही केले नसेल, तर तुम्ही आधीच कायदा मोडत आहात आणि तुम्हाला आता दंड होऊ शकतो. जरी तुमची साइट वेब स्टुडिओ किंवा रिमोट आयटी तज्ञाद्वारे देखरेख केली जात असली तरीही, तरीही साइटवर सूचीबद्ध कंपनी किंवा वैयक्तिक उद्योजकांना दंड जारी केला जाईल.

सार्वजनिक दस्तऐवज तयार करा आणि वेबसाइटवर पोस्ट करा जेणेकरून ते सर्व पृष्ठांवर प्रवेशयोग्य असतील. हा वापरकर्ता करार असू शकतो, जसे की Lamoda, विक्री नियम, अधिकृत सूचना, M-Video सारखे, गोपनीयता धोरण, जसे की रेस्टॉरंट, Adidas किंवा Ozone. Sberbank प्रमाणे आपण नियमित करारामध्ये किंवा ऑफरमध्ये वैयक्तिक डेटावर प्रक्रिया करण्याच्या अटी निर्दिष्ट करू शकता.

इतर लोकांची कागदपत्रे वापरू नका. तुम्ही त्यांना मार्गदर्शक म्हणून घेऊ शकता, परंतु तुम्हाला तुमची स्वतःची डेटा आणि वापराच्या उद्देशांची यादी लिहावी लागेल. वस्तू वितरीत करण्यासाठी बँकेला कर्जासाठी किंवा ऑनलाइन स्टोअरसाठी अर्ज करण्याची गरज भासणार नाही ईमेल वृत्तपत्रकिंवा बुलेटिन बोर्ड. अनावश्यक डेटाची विनंती करणे हे कायद्याचे उल्लंघन आणि दंडाचे कारण आहे.

एक उपाय लागू करा जे स्पष्टपणे स्थापित करेल की व्यक्तीने वैयक्तिक डेटाच्या प्रक्रियेस सहमती दिली आहे. हे नोंदणी फॉर्मवर चेक मार्क किंवा ऑर्डर देताना चेतावणी असू शकते. सुरक्षिततेसाठी, तुमची वेब पृष्ठे नोटरीद्वारे प्रमाणित करा.

तयार करा अंतर्गत कागदपत्रेवैयक्तिक डेटाच्या संचयनावर आणि त्यासोबत काम करणाऱ्या कर्मचाऱ्यांच्या जबाबदारीवर. आदेश, नियम आणि नोकरीचे वर्णनते सार्वजनिक करण्याची गरज नाही.

आवश्यक असल्यास, Roskomnadzor ला एक सूचना पाठवा. जर तुम्हाला खात्री असेल की सूचना पाठवण्याची गरज नाही, तर कागदपत्रे अशा प्रकारे काढा की ते पडताळणीदरम्यान स्पष्ट होतील. उदाहरणार्थ, पॉलिसीमध्ये लिहा की तुम्ही वैयक्तिक डेटा केवळ विशिष्ट कराराच्या अंमलबजावणीसाठी वापरता. किंवा सूचित करा की तुम्ही एक संसाधन तयार करत आहात ज्यावर वापरकर्त्याच्या विनंतीनुसार डेटा सार्वजनिकपणे उपलब्ध केला जातो.

हे खरे आहे की वैयक्तिक डेटा केवळ रशियन सर्व्हरवर संग्रहित केला जाऊ शकतो? मी युरोपमध्ये होस्ट करत असल्यास, मी कायदा मोडत आहे का?

या प्रकरणाबाबत कायद्यात बरीच अनिश्चितता आहे. एकीकडे, डेटाबेस गोळा करणे, प्रक्रिया करणे आणि रशियन सर्व्हरवर संग्रहित करणे आवश्यक आहे. परंतु क्रॉस-बॉर्डर डेटा ट्रान्सफरबद्दल एक स्वतंत्र लेख आहे. दूरसंचार आणि जनसंपर्क मंत्रालयाच्या वेबसाइटवर या प्रकरणाचे स्पष्टीकरण प्रकाशित केले गेले आहे, परंतु त्यात अनेक विरोधाभास देखील आहेत.

डेटा कुठे संग्रहित करायचा याबद्दल आपले स्वतःचे निष्कर्ष काढा. तुम्हाला काय करावे हे माहित नसल्यास, Roskomnadzor किंवा दूरसंचार आणि मास कम्युनिकेशन मंत्रालयाला विनंती पाठवा. आपण आपल्या होस्टरशी देखील संपर्क साधू शकता: बहुतेकदा अशा कंपन्या असतात तयार उपाय.

शांत व्हा, प्रत्येकजण! साइटवरील काही फॉर्म आणि अनावश्यक कागदपत्रांमुळे कोणालाही दंड होणार नाही.

तांबोव प्रदेशात, फिर्यादी कार्यालयाने दंड ठोठावला कायदा फर्मवैयक्तिक डेटाच्या प्रक्रियेसाठी वापरकर्त्याच्या संमतीशिवाय फीडबॅक फॉर्म भरण्यासाठी. न्यायालयांनी त्याला पाठिंबा दिला.

दाव्याची विधाने काढण्यासाठी वकिलांना कर्जदारांचा डेटा पास केल्याबद्दल व्यवस्थापन कंपनीच्या संचालकाला दंड ठोठावण्यात आला. त्याने रहिवाशांकडून वैयक्तिक डेटावर प्रक्रिया करण्यासाठी संमती मिळविली नाही. घटनात्मक न्यायालयाने त्याला मदत केली नाही.

Astrakhan मध्ये, अभियोक्ता वेबसाइट मालकांना वर्णमाला अभिप्राय फॉर्मसाठी दंड करतात.

वैयक्तिक डेटावर प्रक्रिया करण्याच्या नियमांचे उल्लंघन केल्याबद्दल, राज्याच्या बाजूने दंड व्यतिरिक्त, त्यांना नैतिक नुकसान भरपाई आणि अगदी कारावासाची शिक्षा देखील होऊ शकते.

वैयक्तिक डेटावरील कायद्यामध्ये बरेच काही अस्पष्ट आहे. आम्ही ते शोधून काढले आणि उत्तर दिले

कर्मचाऱ्यांचा वैयक्तिक डेटा - कामगार संबंध आणि विशिष्ट कर्मचाऱ्यांशी संबंधित प्रशासनासाठी आवश्यक असलेली कोणतीही माहिती (जुलै 27, 2006 क्रमांक 152-एफझेडच्या कायद्याच्या कलम 3 मधील कलम 1).

पूर्ण नाव आणि एखाद्या व्यक्तीबद्दल इतर कोणतीही माहिती म्हणजे वैयक्तिक डेटा. तुमच्याकडे कर्मचारी असल्यास किंवा अर्जदार, क्लायंट किंवा इतर व्यक्तींबद्दल वैयक्तिक माहिती असल्यास, तुम्ही त्याचे पालन करणे आवश्यक आहे वैयक्तिक डेटावरील कायद्याची आवश्यकताक्रमांक 152-एफझेड दिनांक 27 जून 2006

लेखा आणि कर्मचारी विभाग कर्मचाऱ्यांचा वैयक्तिक डेटा असलेले दस्तऐवज संग्रहित करतात - वेतन विवरणे, वैयक्तिक कार्डे, वैयक्तिक फाइल्स आणि इतर. कर्मचाऱ्याचा सर्व वैयक्तिक डेटा केवळ त्याच्याकडूनच मिळू शकतो. जर वैयक्तिक माहिती केवळ तृतीय पक्षांकडून मिळू शकते, तर प्रथम कर्मचाऱ्याला याबद्दल सूचित करा आणि त्याच्याकडून लेखी संमती मिळवा. कर्मचाऱ्यांना वैयक्तिक डेटा मिळविण्याच्या उद्देश, उद्दीष्ट स्त्रोत आणि पद्धतींबद्दल माहिती द्या. याव्यतिरिक्त, कर्मचाऱ्याला वैयक्तिक डेटाचे स्वरूप आणि ते प्राप्त करण्यास संमती देण्यास कर्मचाऱ्याने नकार दिल्याच्या परिणामांबद्दल माहिती द्या.

महत्वाचे! - वेतन माहिती देखील वैयक्तिक डेटा आहे. हे 02/07/2014 क्रमांक 08KM-3681 च्या Roskomnadzor च्या पत्रात नमूद केले आहे. लेखापाल कर्मचाऱ्यांना जमा आणि पेमेंटवरील डेटा चुकीच्या पद्धतीने संग्रहित करतो किंवा संरक्षित करतो या वस्तुस्थितीसाठी. उदाहरणार्थ, कर्मचाऱ्याच्या संमतीशिवाय पगाराची माहिती त्याच्या माजी पत्नीसोबत शेअर केली जाऊ शकत नाही.

संस्थेला वैयक्तिक डेटा गोळा करण्याचा अधिकार नाही जो कर्मचाऱ्यांच्या कामाच्या क्रियाकलापांशी थेट संबंधित नाही, उदाहरणार्थ, धर्म, राजकीय झुकाव, राहणीमान इ. बद्दल माहिती. ही माहिती नागरिकाचे वैयक्तिक किंवा कौटुंबिक रहस्य बनवते, जी त्याच्याकडे असते. कोणालाही उघड न करण्याचा अधिकार. जुलै 27, 2006 क्रमांक 152-FZ च्या श्रम संहिता आणि कायद्याच्या कलम 86 च्या भाग 1 च्या परिच्छेद 4 मध्ये हे सांगितले आहे.

वैयक्तिक डेटा प्राप्त झाल्यानंतर, नियोक्त्याने कर्मचाऱ्याच्या संमतीशिवाय ते वितरित न करण्याचे किंवा तृतीय पक्षांना ते उघड न करण्याचे वचन दिले (27 जुलै, 2006 च्या कायदा क्रमांक 152-FZ चे अनुच्छेद 7).

नियोक्ता कर्मचाऱ्यांसाठी प्रती ठेवतो

पासपोर्ट, लष्करी आयडी, विवाह प्रमाणपत्रे, मुलाचे जन्म प्रमाणपत्र, रोस्कोमनाडझोरचे निरीक्षक वैयक्तिक डेटाच्या प्रक्रियेसाठी पात्र ठरू शकतात जे त्यांच्या प्रक्रियेच्या नमूद केलेल्या उद्देशांच्या संदर्भात अनावश्यक आहे. या स्थितीचे समर्थन करणारी न्यायालये आहेत (दिनांक 04/21/2014 क्रमांक A53-13327/2013, दिनांक 03/11/2014 क्रमांक A53-10287/2013 चे उत्तर काकेशस जिल्ह्याच्या फेडरल अँटीमोनोपॉली सर्व्हिसचे ठराव). या प्रकरणी संस्था आणि त्यांचे अधिकारी.

वैयक्तिक डेटाच्या संरक्षणावरील नियम, जबाबदार व्यक्तीच्या नियुक्तीचा आदेश

प्रतिबंध करण्यासाठी वैयक्तिक डेटाचे प्रकटीकरण, आपण तयार करणे आवश्यक आहे विश्वसनीय प्रणालीत्यांचे संरक्षण. अशी माहिती प्राप्त करणे, प्रक्रिया करणे, हस्तांतरित करणे आणि संग्रहित करण्याची प्रक्रिया संस्थेच्या स्थानिक कायद्यामध्ये स्थापित केली गेली आहे, उदाहरणार्थ, कर्मचाऱ्यांच्या वैयक्तिक डेटासह कार्य करण्याच्या नियमात (.docx 52Kb). नियमांना संस्थेच्या प्रमुखाने मान्यता दिली आहे. स्वाक्षरीसाठी दस्तऐवजासह कर्मचार्यांना परिचित करा (अनुच्छेद 8, कलम 8, भाग 1, कामगार संहितेचा लेख 86, 87, कलम 2, भाग 1, जुलै 27, 2006 क्र. 152-एफझेडच्या कायद्याचा कलम 18.1).

मंजुरी टाळण्यासाठी, अकाउंटंटला वैयक्तिक डेटासह कोणत्या कृतींसाठी शिक्षा होऊ शकते यासाठी मेमो पहा.

वैयक्तिक डेटासह कार्य करण्यासाठी जबाबदार व्यक्तीची नियुक्ती करणे आवश्यक आहे. नियमानुसार, असा कर्मचारी एक कर्मचारी सेवा कर्मचारी असतो, कारण तोच बहुतेकदा त्याच्या कामाच्या दरम्यान कर्मचाऱ्यांचा वैयक्तिक डेटा आढळतो. (.docx 36Kb) कोणत्याही स्वरूपात (श्रम संहितेच्या कलम 88 मधील भाग 5) ऑर्डरद्वारे वैयक्तिक डेटासह कार्य करण्यासाठी जबाबदार व्यक्तीची नियुक्ती करा.

टीप: “वैयक्तिक डेटाच्या संरक्षणासाठी जबाबदार कर्मचाऱ्यांच्या नियुक्तीवर” (.docx 14Kb) दुसरा नमुना ऑर्डर डाउनलोड करा.

मध्ये वैयक्तिक डेटा प्रक्रिया करताना माहिती प्रणालीवैयक्तिक डेटाचे संरक्षण आणि सुरक्षितता सुनिश्चित करणे आवश्यक आहे. त्याच वेळी, वैयक्तिक डेटाच्या सुरक्षिततेला धोका हा अटी आणि घटकांचा एक संच आहे जो सिस्टममध्ये त्यांच्या प्रक्रियेदरम्यान वैयक्तिक डेटामध्ये अनधिकृत (अपघाती समावेशासह) प्रवेशाचा धोका निर्माण करतो, ज्याचा परिणाम होऊ शकतो:

नाश
बदल
अवरोधित करणे;
कॉपी करणे;
तरतूद
पसरवणे
इतर गैरवर्तनवैयक्तिक डेटासह.

टीप: दिनांक 01.11.2012 च्या सरकारी डिक्री क्र. 1119 द्वारे मंजूर केलेल्या आवश्यकतांपैकी खंड 6.

त्याच्या प्रक्रियेदरम्यान वैयक्तिक डेटाच्या सुरक्षिततेवर नियंत्रण ठेवण्यासाठी, नियोक्ता किंवा त्याच्याद्वारे अधिकृत व्यक्ती दर तीन वर्षांनी किमान एकदा नियंत्रण तपासणी करते, ज्याची विशिष्ट वेळ नियोक्त्याद्वारे स्वतंत्रपणे निर्धारित केली जाते. आवश्यक असल्यास, ज्या संस्था किंवा वैयक्तिक उद्योजकांना उपक्रम राबविण्याचा परवाना आहे त्यांना कराराच्या आधारावर तपासणी करण्यात सहभागी करून घेता येईल. तांत्रिक संरक्षण गोपनीय माहिती(1 नोव्हेंबर, 2012 रोजीच्या सरकारी डिक्री क्र. 1119 द्वारे मंजूर केलेल्या आवश्यकतेचा खंड 17).

वैयक्तिक डेटाच्या प्रक्रियेस संमती

त्याच्या क्रियाकलापांच्या दरम्यान, नियोक्ताला आवश्यक आहे कर्मचाऱ्यांच्या वैयक्तिक डेटावर प्रक्रिया करणे. अशा डेटाची प्रक्रिया, काही प्रकरणे वगळता, केवळ कर्मचार्यांच्या लेखी संमतीनेच होते. या प्रकरणात, संमतीमध्ये खालील माहिती समाविष्ट करणे आवश्यक आहे:

आडनाव, नाव, आश्रयस्थान, कर्मचाऱ्याचा पत्ता, पासपोर्टचा तपशील (त्याची ओळख सिद्ध करणारा दुसरा दस्तऐवज), दस्तऐवज जारी करण्याच्या तारखेची माहिती आणि जारी करणाऱ्या अधिकार्यासह;
नाव किंवा आडनाव, नाव, आश्रयस्थान आणि कर्मचाऱ्याची संमती प्राप्त करणाऱ्या नियोक्ताचे (ऑपरेटर) पत्ता;
वैयक्तिक डेटावर प्रक्रिया करण्याचा उद्देश;
संमती दिलेल्या प्रक्रियेसाठी वैयक्तिक डेटाची सूची;
नियोक्त्याच्या वतीने वैयक्तिक डेटावर प्रक्रिया करणाऱ्या व्यक्तीचे नाव किंवा आडनाव, नाव, आश्रयस्थान आणि पत्ता, जर प्रक्रिया अशा व्यक्तीवर सोपविली जाईल;
वैयक्तिक डेटासह क्रियांची यादी ज्यासाठी संमती दिली जाते, सामान्य वर्णनवैयक्तिक डेटावर प्रक्रिया करण्यासाठी नियोक्त्याने वापरलेल्या पद्धती;
ज्या कालावधीत कर्मचाऱ्याची संमती वैध आहे, तसेच फेडरल कायद्याद्वारे अन्यथा स्थापित केल्याशिवाय, त्याच्या पैसे काढण्याची पद्धत;
कर्मचारी स्वाक्षरी.

एखादा कर्मचारी अक्षम असल्यास, त्याच्या वैयक्तिक डेटाच्या प्रक्रियेस त्याच्या कायदेशीर प्रतिनिधीद्वारे लेखी संमती दिली जाते: पालक, पालक (27 जुलै 2006 च्या कायदा क्रमांक 152-FZ च्या कलम 9 चा भाग 6).

कर्मचारी कधीही करू शकतो तुमच्या वैयक्तिक डेटाच्या प्रक्रियेसाठी संमती मागे घ्यानियोक्त्याला कोणत्याही स्वरूपात फीडबॅक पाठवून. अशा परिस्थितीत, लेख 6 मधील भाग 1 मधील परिच्छेद 2-11, कलम 10 मधील भाग 2 आणि अनुच्छेद 11 मधील भाग 2 मधील निर्बंध विचारात घेऊन कर्मचाऱ्याच्या संमतीशिवाय वैयक्तिक डेटावर प्रक्रिया करणे सुरू ठेवण्याचा संस्थेला अधिकार आहे. 27 जुलै 2006 च्या कायद्याचा क्रमांक 152-FZ. उदाहरणार्थ, न्याय करणे किंवा स्वत: कर्मचाऱ्याच्या जीवनाचे किंवा आरोग्याचे रक्षण करणे. हे 27 जुलै 2006 क्रमांक 152-एफझेडच्या कायद्याच्या अनुच्छेद 9 च्या भाग 2 मध्ये नमूद केले आहे.

विवाद उद्भवल्यास, त्याच्या वैयक्तिक डेटाच्या प्रक्रियेस कर्मचाऱ्याची संमती मिळाल्याचा पुरावा प्रदान करण्याचे दायित्व नियोक्त्यावर अवलंबून असते (27 जुलै 2006 च्या कायदा क्रमांक 152-FZ च्या कलम 9 चा भाग 3).

कर्मचाऱ्याच्या संमतीने, संस्थेला वैयक्तिक डेटाची प्रक्रिया दुसर्या व्यक्तीकडे सोपविण्याचा अधिकार देखील आहे (27 जुलै 2006 च्या कायदा क्रमांक 152-एफझेडच्या अनुच्छेद 6 चा भाग 3). या प्रकरणात, कृतींसाठी कर्मचाऱ्यांची जबाबदारी निर्दिष्ट व्यक्तीनियोक्ता जबाबदारी उचलणे सुरू ठेवेल आणि जे नियोक्त्याच्या वतीने वैयक्तिक डेटावर थेट प्रक्रिया करतात ते थेट नियोक्त्याला जबाबदार असतील (भाग 5, 27 जुलै 2006 च्या कायदा क्रमांक 152-एफझेडचा अनुच्छेद 6).

वैयक्तिक डेटाच्या प्रक्रियेस संमतीनियोक्त्याने केवळ ज्या कर्मचाऱ्यांशी रोजगार संबंध आहे त्यांच्याकडूनच नव्हे तर अर्जदारांकडून, तसेच संस्थेमध्ये नागरी कायदा करार पूर्ण झालेल्या लोकांकडून देखील प्राप्त करणे आवश्यक आहे. हे 14 डिसेंबर 2012 रोजीच्या Roskomnadzor स्पष्टीकरणाच्या परिच्छेद 5 मध्ये नमूद केले आहे.

नोकरीदरम्यान वैयक्तिक डेटाच्या प्रक्रियेसाठी कर्मचाऱ्यांकडून संमती घेणे आवश्यक आहे का?

संस्थेला कोणती माहिती मिळवायची आहे यावर हे सर्व अवलंबून आहे.

नियोक्ता केवळ रोजगार कराराच्या अंमलबजावणीसाठी आवश्यक असलेली कर्मचाऱ्याबद्दलची माहिती प्राप्त करू शकतो, संग्रहित करू शकतो आणि प्रसारित करू शकतो (27 जुलै 2006 च्या कायदा क्रमांक 152-एफझेडचा कलम 2, 5, भाग 1, अनुच्छेद 6, त्यानंतर संदर्भित 152-FZ, पॅरा 1, 14 डिसेंबर 2012 रोजीचे Roskomnadzor चे स्पष्टीकरण, यापुढे स्पष्टीकरण म्हणून संदर्भित). कर्मचारी हा रोजगार कराराचा पक्ष आहे, म्हणून सर्व प्रकरणांमध्ये वैयक्तिक डेटावर प्रक्रिया करण्यासाठी त्याची संमती घेणे आवश्यक नाही. उदाहरणार्थ, एखाद्या नियोक्ताला कर्मचाऱ्याच्या संमतीशिवाय प्राप्त झालेल्या वैयक्तिक डेटावर प्रक्रिया करण्याचा अधिकार आहे:

अनिवार्य प्राथमिक वैद्यकीय तपासणीच्या परिणामांवर आधारित (श्रम संहितेचा अनुच्छेद 69, स्पष्टीकरणाचा खंड 3);
रोजगार करार पूर्ण करताना कर्मचाऱ्याने सादर केलेल्या कागदपत्रांमधून (श्रम संहितेच्या अनुच्छेद 65);
अर्जदाराच्या वतीने काम करणाऱ्या भर्ती एजन्सीकडून (परिच्छेद १२, स्पष्टीकरणाचा परिच्छेद ५);
उमेदवाराच्या इंटरनेटवरील रेझ्युमेवरून, अमर्यादित लोकांसाठी प्रवेशयोग्य (खंड 10, भाग 1, कायदा क्रमांक 152-एफझेडचा लेख 6, परिच्छेद 12, स्पष्टीकरणाचा खंड 5).

वैयक्तिक कार्डद्वारे प्रदान केलेल्या मर्यादेपर्यंत डेटा प्रक्रियेसाठी संमती आवश्यक नाही. तुम्ही कर्मचाऱ्याकडून त्याच्या जवळच्या नातेवाईकांबद्दल माहितीची विनंती देखील करू शकता (स्पष्टीकरणाचा खंड 2).

जेव्हा तुम्हाला अर्जदाराकडून काही प्रकारची माहिती मिळवायची असेल तेव्हा संमती आवश्यक असते अतिरिक्त माहिती, जे रोजगार कराराच्या अंमलबजावणीसाठी आवश्यक नाही. उदाहरणार्थ, वैयक्तिक पत्ता ईमेलकिंवा फोन नंबर. तुम्ही कर्मचाऱ्याचा वैयक्तिक डेटा तृतीय पक्षाकडे हस्तांतरित केल्यास संमती देखील मिळवा. उदाहरणार्थ, तुमच्या कंपनीच्या प्रदेशावरील ॲक्सेस कंट्रोलचे परीक्षण करणारी सुरक्षा संस्था किंवा तुमच्या कंपनीच्या नोंदी ठेवणारी तृतीय-पक्ष संस्था (स्पष्टीकरणाचा खंड 5).

एखाद्या कर्मचाऱ्यासाठी बॅज तयार करण्यासाठी त्याच्या वैयक्तिक डेटावर प्रक्रिया करण्यासाठी संमती घेणे आवश्यक आहे का?

प्रश्नाचे उत्तर बॅज बनवण्याच्या उद्देशावर अवलंबून आहे. ही प्रक्रिया डेटा प्रक्रिया आवश्यक नसलेल्या प्रकरणांमध्ये येत नाही तोपर्यंत संमती आवश्यक असेल.

कर्मचारी वैयक्तिक डेटा माहिती आहे, संस्थेसाठी आवश्यक आणि विशिष्ट व्यक्तीशी संबंधित, म्हणजे, विशिष्ट कर्मचारी. अशा माहितीच्या उदाहरणांमध्ये कर्मचाऱ्याचे आडनाव, नाव आणि आश्रयस्थान यांचा समावेश असू शकतो. हे 27 जुलै 2006 क्रमांक 152-एफझेडच्या कायद्याच्या अनुच्छेद 3 च्या परिच्छेद 1 मध्ये नमूद केले आहे.

IN सामान्य केसकर्मचाऱ्याच्या वैयक्तिक डेटावर प्रक्रिया करण्यासाठी त्याची संमती आवश्यक आहे (कलम 2-11, भाग 1, लेख 6, भाग 2, लेख 10, भाग 2, जुलै 27, 2006 क्र. 152-FZ च्या कायद्याचा कलम 11). त्याच वेळी, जेव्हा संमती आवश्यक नसते तेव्हा कायदा अपवादात्मक प्रकरणांसाठी तरतूद करतो. उदाहरणार्थ, जर डेटाच्या प्रक्रियेत कर्मचारी काम करत असेल तर नोकरीच्या जबाबदाऱ्या, त्याच्या व्यवसाय सहली दरम्यान समावेश. किंवा नियोक्ताच्या कार्यालयीन इमारती आणि परिसरांच्या प्रदेशावर प्रवेश नियंत्रणाच्या अंमलबजावणीदरम्यान वैयक्तिक डेटाची प्रक्रिया केली जात असल्यास, नियोक्ता स्वतंत्रपणे प्रवेश नियंत्रण आयोजित करतो. हे 14 डिसेंबर 2012 रोजीच्या Roskomnadzor च्या स्पष्टीकरणाच्या परिच्छेद 1-5 मध्ये नमूद केले आहे.

अशा प्रकारे, जर उद्देशावर आधारित बॅजचे उत्पादन निर्दिष्ट अपवादांच्या अंतर्गत येते, तर कर्मचार्याकडून अतिरिक्त संमती घेणे आवश्यक नाही. जर हे लागू होत नसेल आणि बॅजचे उत्पादन कर्मचाऱ्यांच्या कामाच्या क्रियाकलापांशी थेट संबंधित नसलेली एक-वेळची प्रक्रिया असेल, तर संमती घेणे आवश्यक आहे.

तुम्ही तुमच्या बॅजवर फोटो घेतल्यास, वैयक्तिक डेटावर प्रक्रिया करण्यासाठी कर्मचाऱ्यांची संमती मिळवण्याचे सुनिश्चित करा. छायाचित्र म्हणजे बायोमेट्रिक डेटा (सर्वोच्च न्यायालयाची व्याख्या दिनांक 5 मार्च 2018 क्र. 307-KG18-101).

"वैयक्तिक डेटा" सेवेमध्ये कागदपत्रे तयार करा

वैयक्तिक डेटासह कार्य करताना उल्लंघनासाठी अनुशासनात्मक, सामग्री, प्रशासकीय आणि गुन्हेगारी दायित्व

कर्मचाऱ्यांचा वैयक्तिक डेटा प्राप्त करणे, प्रक्रिया करणे, संग्रहित करणे आणि संरक्षित करणे या प्रक्रियेचे उल्लंघन केल्याबद्दल, अनुशासनात्मक, सामग्री, प्रशासकीय आणि गुन्हेगारी दायित्व प्रदान केले जाते (27 जुलै 2006 च्या कायद्याच्या कलम 24 चा भाग 1).

शिस्तबद्ध दायित्वासाठी

केवळ तेच कर्मचारी ज्यांनी वैयक्तिक डेटासह काम करण्याच्या नियमांचे पालन करण्याची जबाबदारी स्वीकारली आहे आणि त्यांचे उल्लंघन केले आहे.

आर्थिक जबाबदारी

वैयक्तिक डेटासह कार्य करण्याच्या नियमांचे उल्लंघन केल्याच्या संदर्भात, संस्थेचे प्रत्यक्ष वास्तविक नुकसान झाले असल्यास (अनुच्छेद 192, कामगार संहितेच्या अनुच्छेद 238).

वैयक्तिक डेटा संकलित करणे, संग्रहित करणे, वापरणे किंवा वितरित करणे या प्रक्रियेचे उल्लंघन केल्याबद्दल, संस्था आणि तिच्या अधिकार्यांना दंड आकारला जाईल. एका तपासणी दरम्यान, Roskomnadzor अनेक भिन्न उल्लंघने शोधू शकतात. मग तो एकाच वेळी अनेक दंड वसूल करेल.

दंडाची रक्कम गुन्ह्याच्या प्रकारावर अवलंबून असते. अशा प्रकारे, अधिकार्यांना 3,000 ते 20,000 रूबल, वैयक्तिक उद्योजक - 5,000 ते 20,000 रूबल, संस्था - 15,000 ते 75,000 रूबलच्या रकमेत दंड आकारला जाऊ शकतो.

गुन्हेगारी दायित्व

फौजदारी संहितेच्या कलम 137 नुसार, एखाद्या संस्थेच्या प्रमुखासाठी किंवा वैयक्तिक डेटासह काम करण्यासाठी जबाबदार असलेल्या अन्य व्यक्तीसाठी, हे बेकायदेशीर असल्यास असे होऊ शकते:

एखाद्या कर्मचाऱ्याच्या खाजगी जीवनाविषयी माहिती गोळा करणे किंवा प्रसारित करणे जे त्याचे वैयक्तिक किंवा कौटुंबिक रहस्य बनवते, त्याच्या संमतीशिवाय;
सार्वजनिक भाषण, सार्वजनिकरित्या प्रदर्शित केलेले कार्य किंवा माध्यमांद्वारे कर्मचाऱ्यांच्या जीवनाविषयी माहिती प्रसारित करणे.

या उल्लंघनांसाठी खालील दंड प्रदान केले आहेत:

200,000 रूबल पर्यंत दंड. (किंवा 18 महिन्यांपर्यंतच्या कालावधीसाठी दोषी व्यक्तीच्या उत्पन्नाच्या रकमेत);
360 तासांपर्यंत अनिवार्य काम;
एक वर्षापर्यंत सुधारात्मक श्रम;
तीन वर्षांपर्यंतच्या कालावधीसाठी काही पदांवर राहण्याचा किंवा विशिष्ट क्रियाकलापांमध्ये गुंतण्याच्या अधिकारापासून वंचित राहून किंवा त्याशिवाय दोन वर्षांपर्यंतच्या कालावधीसाठी सक्तीचे श्रम;
चार महिन्यांपर्यंत अटक;
दोन वर्षांपर्यंत कारावास आणि तीन वर्षांपर्यंतच्या कालावधीसाठी विशिष्ट पदांवर राहण्याचा किंवा विशिष्ट क्रियाकलापांमध्ये गुंतण्याचा अधिकार वंचित ठेवल्यास.

जर, वैयक्तिक डेटासह काम करताना नियोक्त्याने केलेल्या उल्लंघनाच्या परिणामी, कर्मचाऱ्याच्या अधिकारांचे उल्लंघन केले गेले, तर त्याला संस्थेकडून नैतिक नुकसान भरपाईची मागणी करण्याचा अधिकार देखील आहे. मालमत्तेचे नुकसान आणि कर्मचाऱ्याने केलेल्या इतर नुकसानाची भरपाई विचारात न घेता नैतिक नुकसानीची भरपाई केली जाते. हे 27 जुलै 2006 च्या कायद्याच्या कलम 24 च्या भाग 2 मध्ये नमूद केले आहे. नैतिक नुकसान भरपाईची प्रक्रिया नागरी कायद्याद्वारे नियंत्रित केली जाते ().

TIN हा वैयक्तिक डेटा नाही

प्रत्येक करदात्याला संपूर्ण रशियन फेडरेशनमध्ये सर्व प्रकारच्या कर आणि शुल्कांसाठी एकच TIN नियुक्त केला जातो. म्हणून तयार होतो डिजिटल कोड, कर प्राधिकरण कोड (4 वर्ण) दर्शविणाऱ्या संख्यांच्या क्रमाचा समावेश आहे, अनुक्रमांकयुनिफाइड स्टेट रजिस्टर ऑफ रिअल इस्टेट (6 वर्ण) आणि नियंत्रण क्रमांक (2 वर्ण) मधील व्यक्तीबद्दल रेकॉर्ड.

टीआयएन ही प्रत्यक्षात युनिफाइडमधील व्यक्तीच्या रेकॉर्डची संख्या आहे राज्य नोंदणीकरदाते आणि वैयक्तिक डेटाच्या सूचीमध्ये समाविष्ट केलेली माहिती नाही, केवळ कर अधिकार्यांच्या प्रणालीमध्ये करदात्यांच्या लेखा सुव्यवस्थित करण्याच्या उद्देशाने वापरली जाते आणि केवळ हितसंबंधांमध्ये माहितीच्या प्रचंड प्रवाहाच्या प्रक्रियेस गती देण्यासाठी देखील कार्य करते. करदात्यांच्या हक्कांचा आदर करणे.

टीप: वित्त मंत्रालयाचे पत्र क्रमांक ०३-०१-११/७६५५४ दिनांक २५ ऑक्टोबर २०१८.