Travailler avec des données personnelles impose un certain nombre de responsabilités à l'opérateur. Examinons quelques-uns des plus significatifs d'entre eux.

Informer Roskomnadzor du début du traitement des données personnelles (). Cette notification doit être envoyée à l'agence avant le début du traitement des données, en y indiquant :

• nom (nom complet), adresse de l'opérateur ;
• finalité du traitement des données personnelles ;
• catégories de données personnelles ;
• catégories de sujets dont les données personnelles sont traitées ;
• base juridique pour le traitement des données personnelles ;
• une liste d'actions avec des données personnelles, une description générale des méthodes utilisées par l'opérateur pour traiter les données personnelles ;
• mesures de protection des données personnelles ;
• Nom complet de la personne physique ou nom de la personne morale responsable de l'organisation du traitement des données personnelles, ainsi que ses numéros de téléphone, adresses postales et adresses e-mail ;
• date de début du traitement des données personnelles ;
• modalités ou conditions de cessation du traitement des données personnelles ;
• des données sur la présence ou l'absence de transfert transfrontalier de données personnelles lors de leur traitement ;
• des informations sur l'emplacement de la base de données d'informations contenant des données personnelles des Russes ;
• des informations sur la garantie de la sécurité des données personnelles conformément aux exigences de protection des données personnelles établies par le gouvernement de la Fédération de Russie (nous parlons notamment des données personnelles dépendant des menaces de sécurité, des données personnelles dont l'exécution garantit des niveaux établis de protection des données personnelles, ainsi que des technologies permettant de stocker ces données en dehors des systèmes d'information sur les données personnelles).

Dans le même temps, il existe des situations dans lesquelles il n'est pas nécessaire d'informer Roskomnadzor du traitement des données personnelles. Il s'agit par exemple du traitement des données des salariés par l'employeur, de la réception par l'opérateur des données du client lors de la conclusion d'un accord avec lui (si ces informations ne sont pas fournies à des tiers sans le consentement du sujet et sont utilisées exclusivement pour l'exécution de l'accord spécifié), le traitement de données personnelles accessibles au public, la délivrance d'un laissez-passer unique à une personne sur le territoire de l'opérateur, en utilisant uniquement le nom complet du sujet, etc.

Assurer la confidentialité des données personnelles. Cela signifie qu'ils ne peuvent être distribués sans le consentement du sujet (). Cette responsabilité des personnes ayant accès aux données personnelles est l’une des principales. En particulier, lors du transfert des données personnelles des salariés, l'employeur est tenu de :

• ne pas divulguer les données personnelles de l'employé à un tiers sans son consentement écrit (sauf dans les cas où cela est nécessaire pour prévenir une menace pour la vie et la santé de l'employé, et dans d'autres cas prévus par la loi - par exemple, lors du transfert de données à la Caisse d'assurance sociale, à la Caisse de retraite de la Fédération de Russie, aux autorités fiscales, aux commissariats militaires, au parquet, aux forces de l'ordre, au GIT, etc.) ;
• avertir les personnes recevant les données personnelles du salarié que ces informations ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été communiquées - l'employeur peut même exiger de ces personnes qu'elles confirment que cette règle a été respectée ;
• transférer les données personnelles de l'employé au sein d'une organisation, d'un entrepreneur individuel conformément à un acte réglementaire local, avec lequel l'employé doit être familiarisé avec la signature ;
• autoriser l'accès aux données personnelles des employés uniquement à des personnes spécialement autorisées, et elles devraient avoir le droit de recevoir uniquement les données des employés qui sont nécessaires à l'exercice de fonctions spécifiques ;
• ne pas demander d’informations sur l’état de santé de l’employé, à l’exception des informations relatives à la question de la capacité de l’employé à exercer une fonction professionnelle ;
• limiter les informations transmises aux représentants des salariés aux seules données des salariés nécessaires à l'exercice de leurs fonctions par lesdits représentants ().

Prendre des mesures pour assurer la sécurité des données personnelles (). Pour ce faire, l'organisation doit désigner une personne responsable de l'organisation du traitement des données personnelles (). Une telle personne est tenue d'exercer un contrôle interne sur le respect par l'exploitant et ses salariés des exigences en matière de protection des données personnelles, de porter à la connaissance des salariés les dispositions et réglementations locales relatives au traitement des données personnelles, ainsi que d'organiser le réception et traitement des demandes et demandes des sujets de données personnelles. En outre, aux mêmes fins, des mesures techniques doivent être appliquées pour assurer la sécurité du traitement, ainsi que des documents doivent être délivrés définissant la politique de l’entreprise en matière de traitement des données personnelles, etc.

Parallèlement, l'organisation doit rendre publique sa politique de traitement des données personnelles (). Le meilleur moyen est de publier le document sur le site Internet de l’opérateur. Mais dans les cas où cela n'est pas possible, il suffit d'installer une « poche » avec la politique sur papier à tout endroit accessible aux visiteurs de l'organisation. L'exception concerne les opérateurs qui collectent des données personnelles directement via Internet : ils doivent publier la politique sur le site Web et offrir la possibilité d'accéder au document spécifié. Sur le site officiel de Roskomnadzor, vous pouvez trouver des recommandations pour élaborer une politique concernant le traitement des données personnelles.

Ne confondez pas la politique, qui s'applique principalement aux tiers (contreparties, clients, etc.), avec le Règlement sur la protection, le stockage, le traitement et le transfert des données personnelles des salariés - ce document, contrairement à la politique, est une réglementation locale acte, il ne doit donc pas être rendu public, mais il est obligatoire d'en informer les salariés contre signature ().

MATÉRIAUX SUR LE SUJET

Découvrez les problèmes qu'un opérateur peut rencontrer lorsqu'il se conforme aux exigences de localisation des données personnelles et comment les résoudre le plus efficacement possible dans notre documentation "".

Respectez les exigences de localisation des données personnelles des Russes. Depuis le 1er septembre 2015, tous les opérateurs lors de la collecte de données personnelles sont tenus d'assurer leur traitement à l'aide de bases de données situées en Russie (). La soi-disant localisation des données personnelles a d'abord suscité un grand écho parmi les spécialistes et les opérateurs - les exigences de la loi ont été formulées de telle manière que les experts ont exprimé de nombreuses inquiétudes. Parmi eux, il y a le manque de clarté sur les données personnelles qui seront soumises à cette exigence, quels opérateurs seront concernés, si le traitement des données personnelles sur des serveurs russes et étrangers est autorisé simultanément, comment déterminer la citoyenneté du sujet, etc. Roskomnadzor a répondu à la plupart de ces questions avant même l'entrée en vigueur des nouvelles exigences légales. Par exemple, l'agence a donné aux opérateurs le droit de décider de manière indépendante de la question de la détermination de la citoyenneté de la personne dont les données sont traitées, ou d'appliquer l'exigence de localisation aux données personnelles de tous les sujets. En outre, Roskomnadzor a précisé que dans le cas où des données personnelles ont été enregistrées dans une base de données russe lors de leur collecte, elles peuvent ensuite être traitées dans une base de données électronique située en dehors du pays.

Tant dans la politique de traitement des données personnelles que dans le Règlement sur la protection, le stockage, le traitement et le transfert des données personnelles des salariés, il convient de préciser que lors de la collecte des données personnelles, l'opérateur s'engage à assurer l'enregistrement, la systématisation, l'accumulation, le stockage, la clarification. (mise à jour, modification), récupération des données personnelles des Russes à l'aide de bases de données situées sur le territoire de la Russie, et indique également l'emplacement d'une telle base de données.

Arrêtez de traiter les données personnelles en temps opportun. Si la finalité du traitement des données personnelles est atteinte ou si le sujet a retiré son consentement à leur traitement, l'opérateur doit cesser de traiter ces données et les supprimer dans un délai de 30 jours, à moins qu'un autre délai ne soit spécifié dans l'accord ().

Comment organiser le traitement des données personnelles des salariés. Registre des opérateurs de données personnelles de Roskomnadzor. Comment obtenir le consentement d’un employé au traitement de ses données personnelles.

Question: L'entreprise unitaire municipale est-elle tenue de s'inscrire au registre des opérateurs de données personnelles de Roskomnadzor, ainsi que d'élaborer un ensemble de documents sur la protection des données personnelles ?

Répondre: Oui, une entreprise unitaire municipale est obligée de s'inscrire au registre des opérateurs de données personnelles, ainsi que d'élaborer un ensemble de documents sur la protection des données personnelles si l'entreprise unitaire municipale emploie des employés et que l'entreprise unitaire municipale traite leurs données personnelles ou les L'entreprise unitaire municipale traite les données personnelles de diverses personnes (clients, partenaires).

Raisonnement

Comment organiser le traitement des données personnelles des salariés

La notion de données personnelles

Quelles données personnelles d'un employé l'organisation est-elle en droit de recevoir ?

Données personnelles publiques

Question de la pratique : quelles données personnelles sont considérées comme publiques

Les informations publiques sont des informations généralement connues et d'autres informations auxquelles l'accès n'est pas limité. Ces informations peuvent être utilisées par toute personne à sa discrétion, sous réserve des restrictions légalement établies concernant sa diffusion. Ceci est indiqué aux paragraphes de l'article 7 de la loi du 27 juillet 2006 n° 149-FZ.

Les données personnelles publiques sont des données que la personne concernée a mises à disposition en tant que telles. Les données personnelles publiques peuvent inclure des informations accessibles à un nombre illimité de personnes (par exemple, des données provenant d'annuaires ouverts, de carnets d'adresses, etc.).

Puisque tout le monde y a accès, ils ne nécessitent plus de sécurité particulière.

Lors du traitement de ces données, l'opérateur n'a pas besoin d'en informer l'organisme habilité pour la protection des droits des personnes concernées (clause 4, partie 2, article 22 de la loi du 27 juillet 2006 n° 152-FZ).

Consentement au traitement des données personnelles

Comment obtenir le consentement d’un salarié au traitement de ses données personnelles

Dans le cadre de ses activités, l'employeur est amené à traiter les données personnelles des salariés. Le traitement de ces données, à l'exception de certains cas, n'a lieu qu'avec le consentement écrit des salariés. Dans ce cas, le consentement doit comporter les informations suivantes :

• nom, prénom, patronyme, adresse du salarié, détails du passeport (un autre document prouvant son identité), y compris des informations sur la date de délivrance du document et l'autorité émettrice ;

• nom ou nom, prénom, patronyme et adresse de l’employeur (opérateur) ayant reçu l’accord du salarié ;
• finalité du traitement des données personnelles ;
• liste des données personnelles pour le traitement desquelles le consentement est donné ;
• nom ou nom, prénom, patronyme et adresse de la personne traitant des données personnelles pour le compte de l'employeur, si le traitement sera confié à une telle personne ;
• une liste des actions avec des données personnelles pour lesquelles le consentement est donné, une description générale des méthodes utilisées par l'employeur pour traiter les données personnelles ;
• la durée pendant laquelle le consentement du salarié est valable, ainsi que les modalités de son retrait, sauf disposition contraire de la loi fédérale ;
• Signature de l'employé.

Ces exigences sont établies dans la partie 4

Si un salarié est frappé d'incapacité, le consentement écrit au traitement de ses données personnelles est donné par son représentant légal : parent, tuteur (Partie 6 de l'article 9 de la loi du 27 juillet 2006 n° 152-FZ).

Un employé peut à tout moment retirer son consentement au traitement de ses données personnelles en envoyant un retour d'information à l'employeur sous quelque forme que ce soit. Dans une telle situation, l'organisation a le droit de continuer à traiter les données personnelles sans le consentement de l'employé, en tenant compte des restrictions spécifiées aux paragraphes 2 à 11 de la partie 1 de l'article 6, de la partie 2 de l'article 10 et de la partie 2 de l'article. 11 de la loi du 27 juillet 2006 n° 152-FZ, par exemple, pour rendre la justice ou protéger la vie (la santé) du salarié lui-même. C'est ce qu'indique la partie 2 de l'article 9 de la loi du 27 juillet 2006 n° 152-FZ.

Il est à noter qu'en cas de litige, l'obligation de prouver que le consentement du salarié au traitement de ses données personnelles a été obtenu incombe à l'employeur (partie 3 de l'article 9 de la loi du 27 juillet 2006 n° 152 -FZ).

Avec le consentement du salarié, l'organisation a également le droit de confier le traitement des données personnelles à une autre personne (partie 3 de l'article 6 de la loi du 27 juillet 2006 n° 152-FZ). Dans ce cas, l'employeur continuera à être responsable envers l'employé des actes de la personne spécifiée, et la personne traitant des données personnelles au nom de l'employeur sera directement responsable envers l'employeur (partie 5 de l'article 6 de la loi de 27 juillet 2006 n° 152- Loi fédérale).

Il convient de noter que l'employeur doit obtenir le consentement au traitement des données personnelles non seulement des salariés, c'est-à-dire des personnes avec lesquelles il entretient une relation de travail, mais également des candidats, ainsi que des personnes avec lesquelles des contrats de droit civil ont été conclus. conclu dans l'organisation. Ceci est indiqué au paragraphe 5 des clarifications de Roskomnadzor du 14 décembre 2012.

Consentement universel

Question de la pratique : Est-il possible, lors de la conclusion d'un contrat de travail, d'obtenir le consentement écrit du salarié pour communiquer ses données personnelles à des tiers dans toutes les situations nécessaires avant son licenciement ?

Non tu ne peux pas.

Pour transférer les données des employés à des tiers, l'organisation est tenue d'obtenir le consentement écrit de cet employé. Sans le consentement écrit de l'employé, ses données personnelles peuvent être transférées à des tiers lorsque cela est nécessaire pour prévenir une menace pour la vie et la santé de l'employé, et dans d'autres cas prévus par les lois fédérales. Ces règles sont établies par la partie 1 de l'article 88 du Code du travail de la Fédération de Russie.

Le Code du travail de la Fédération de Russie ne contient pas d'exigences concernant le contenu du consentement écrit pour le transfert de données. Toutefois, le paragraphe 1 de l'article 9 de la loi du 27 juillet 2006 n° 152-FZ établit que le consentement au traitement des données personnelles doit être spécifique, éclairé et conscient. Il s'ensuit que l'organisation doit demander le consentement écrit du salarié pour chaque cas de transfert de ses données personnelles à un tiers. Ce n’est que dans de telles conditions que l’exigence de spécificité et de consentement éclairé peut être considérée comme remplie. La liste des informations qui doivent figurer dans le consentement écrit au transfert de données personnelles est établie au paragraphe 4 de l'article 9 de la loi du 27 juillet 2006 n° 152-FZ.

Traitement des données personnelles des artistes selon GPA

Question de la pratique : Est-il nécessaire d'obtenir un consentement écrit pour le traitement des données personnelles des citoyens avec lesquels des contrats de droit civil ont été conclus ?

Oui, en général, c'est nécessaire, de la même manière que pour les salariés à temps plein.

Le traitement des données personnelles n'est possible qu'avec le consentement écrit de la personne concernée, à l'exception de certains cas où un tel traitement est possible sans son consentement (). Dans le même temps, les sujets des données personnelles peuvent être à la fois des salariés travaillant sous contrat de travail et des citoyens avec lesquels l'organisation a conclu des contrats de droit civil.

Ainsi, une organisation en général doit obtenir le consentement au traitement des données personnelles, y compris des citoyens avec lesquels des contrats de droit civil ont été conclus, afin d'exclure tout litige concernant un transfert non autorisé de données en dehors du champ d'application des termes du contrat de droit civil.

Le refus de l'artiste interprète de donner un tel consentement ne fait pas obstacle à la conclusion d'un contrat civil.

Traitement des données sans consentement

Dans quels cas le consentement de l’employé pour le transfert de données personnelles n’est-il pas requis ?

Dans certains cas, le traitement des données personnelles est possible sans le consentement du salarié. Par exemple, si le traitement des données personnelles est nécessaire à l'exécution d'un contrat conclu avec un employé ou à la réalisation des objectifs prévus par la loi pour la mise en œuvre et l'accomplissement des fonctions, pouvoirs et responsabilités attribués à l'opérateur par la législation russe. , elle peut être effectuée sans le consentement du salarié - sujet des données personnelles. Ceci est précisé dans la loi du 27 juillet 2006 n° 152-FZ.

De tels cas incluent le transfert d'informations à :

• Caisse de retraite de la Fédération de Russie ();
• autorités fiscales ();
• commissariats militaires ();
• d’autres organismes, lorsque l’obligation de leur transmettre des informations relatives aux données personnelles de l’employé est attribuée à l’employeur par la loi ou est nécessaire pour atteindre les objectifs fixés par la loi (par exemple, tribunaux, parquet, etc.).

De plus, le consentement n’est pas requis dans les cas suivants :

• l'obligation de traitement est prévue par la loi, y compris la publication et la mise à disposition des données personnelles des salariés sur Internet (par exemple, loi du 21 novembre 2011 n° 323-FZ, loi du 9 février 2009 n° 8-FZ et un certain nombre d'autres actes);
• les données personnelles des proches parents du salarié sont traitées dans la mesure prévue par la carte personnelle (selon le formulaire unifié n° T-2 ou un formulaire élaboré de manière indépendante), ainsi qu'en cas de perception d'une pension alimentaire, de traitement des prestations sociales et accès aux secrets d'État;
• le traitement des informations sur l’état de santé du salarié est lié à la question de sa capacité à exercer sa fonction ;
• le traitement des données est lié à l'exercice de fonctions officielles par le salarié, y compris lors de son déplacement professionnel ;
• le traitement des données personnelles est effectué lors de la mise en œuvre du contrôle d’accès au territoire des immeubles de bureaux et des locaux de l’employeur, à condition que l’organisation du contrôle d’accès soit effectuée par l’employeur de manière indépendante.

Si le document local prévoit des options de règlement avec les salariés ou ne précise pas du tout ce point, alors les salariés ont le droit de décider en toute indépendance s'ils souhaitent recevoir leur salaire via une caisse enregistreuse ou sur une carte bancaire. Et si l'employeur décide de transférer les salaires sur des cartes bancaires pour tous les salariés, alors chaque salarié doit être invité à consentir au traitement des données personnelles et à leur transfert à un tiers - la banque. Dans une telle situation, les employés ont le droit de ne pas donner leur consentement et l'employeur, en l'absence d'un tel consentement, ne pourra pas continuer à traiter les données et transférer à la banque les informations sur les employés qui ont refusé.

En savoir plus sur le sujet : Est-il nécessaire d'obtenir à nouveau le consentement des salariés pour le traitement des données personnelles lors d'un changement de banque pour transférer des salaires ?

Question de la pratique : Est-il nécessaire d'obtenir à nouveau le consentement des salariés pour le traitement des données personnelles lors d'un changement de banque pour transférer des salaires ?

Non, ce n'est pas nécessaire, à condition que les consentements existants n'indiquent pas la banque spécifique à laquelle les données ont été fournies. Si l'accord préalable a été établi pour une banque spécifique, l'employeur devra alors obtenir un nouvel accord selon les règles générales ().

De plus, il n'est pas nécessaire d'obtenir le consentement si les documents locaux de l'organisation prévoient le paiement des salaires spécifiquement par carte bancaire et que le salarié a pris connaissance de ces documents lors de l'embauche ou pendant le processus de travail (partie 2 de l'article 9 du Loi du 27 juillet 2006 n° 152- Loi fédérale). Voir les détails.

Notification de Roskomnadzor

Comment informer l'agence de régulation du début du traitement des données personnelles des employés

Avant de traiter les données personnelles des salariés, l'employeur doit informer l'organisme territorial de Roskomnadzor de son intention d'effectuer le traitement. Les exceptions sont les cas de traitement de données personnelles :

• traités conformément au droit du travail ;
• rendu public par les employés ;

• reçus par l'organisation dans le cadre de la conclusion d'un accord auquel l'employé est partie (à condition que les données personnelles ne soient pas distribuées ou fournies à des tiers sans le consentement de l'employé et soient utilisées par l'employeur uniquement pour l'exécution de l'accord spécifié et la conclusion d'autres accords avec le salarié) ;
• relatif aux membres (participants) d'une association publique ou d'un organisme religieux ;
• comprenant uniquement les noms, prénoms et patronymes des salariés ;
• nécessaire aux fins de l’entrée ponctuelle d’un salarié sur le territoire de l’employeur et à d’autres fins similaires ;
• inclus dans les systèmes d'information sur les données personnelles qui, conformément aux lois fédérales, ont le statut de systèmes d'information automatisés de l'État, ainsi que dans les systèmes d'information sur les données personnelles de l'État créés pour protéger la sécurité de l'État et l'ordre public ;
• traitées sans l'utilisation d'outils automatisés conformément aux actes législatifs établissant des exigences pour assurer la sécurité des données personnelles lors de leur traitement et pour respecter les droits des personnes concernées ;
• traités dans les cas prévus par la législation russe sur la sécurité des transports.

En cas de cessation du traitement des données personnelles, l'employeur est également tenu d'en informer l'organisme habilité. Cela doit être fait dans les dix jours ouvrables à compter de la date de fin du traitement des données. Le formulaire type de notification de cessation du traitement des données n'a pas été approuvé, l'employeur peut donc l'établir sous n'importe quelle forme ().

Question de la pratique : que faut-il entendre par traitement des données personnelles des salariés

Protection des informations personnelles

Comment organiser la protection des données personnelles des employés d'une organisation

Pour empêcher la divulgation de données personnelles, créez un système fiable pour les protéger. La procédure de réception, de traitement, de transfert et de stockage de ces informations est établie dans un acte local de l'organisation, par exemple dans (article du Code du travail de la Fédération de Russie). Le règlement est approuvé par le chef de l'organisation. Familiarisez-le avec la signature des employés de l'organisation. Ceci est indiqué dans la partie 1 de l'article 86 du Code du travail de la Fédération de Russie.

En outre, l'organisation doit nommer une personne responsable du traitement des données personnelles (partie 5 de l'article 88 du Code du travail de la Fédération de Russie). En règle générale, un tel employé est un employé du service du personnel, car c'est lui qui, dans le cadre de son travail, rencontre le plus souvent les données personnelles des employés. Nommer la personne responsable du traitement des données personnelles par commande sous quelque forme que ce soit.

Des mesures spécifiques visant à assurer la sécurité des données personnelles des salariés lors de leur traitement sont prévues dans la loi du 27 juillet 2006 n° 152-FZ et les Exigences approuvées. Sur cette base, une organisation peut développer son propre système de protection des données personnelles.

Ainsi, lors du traitement de données personnelles dans un système d’information, il est nécessaire d’assurer la protection et la sécurité des données personnelles. Dans le même temps, une menace pour la sécurité des données personnelles est un ensemble de conditions et de facteurs qui créent un risque d'accès non autorisé (y compris accidentel) aux données personnelles lors de leur traitement dans le système, ce qui peut entraîner :

• destruction;
• changement;
• blocage;
• copier;
• disposition;
• diffusion;
• d'autres actions illégales avec des données personnelles.

Il convient de noter que le choix des moyens spécifiques de sécurité de l'information pour le système d'information de traitement des données personnelles est effectué par l'employeur conformément aux réglementations du FSB de Russie et du FSTEC de Russie. La détermination du type de menaces à la sécurité des données personnelles pertinentes pour le système de traitement et de protection des données personnelles est effectuée en tenant compte de l'évaluation des dommages possibles et conformément aux réglementations des organismes mentionnés (clause , Exigences approuvées par décret du Gouvernement de la Fédération de Russie du 1er novembre 2012 n° 1119).

Lors du traitement des données personnelles dans les systèmes, quatre niveaux de sécurité peuvent être établis en fonction de la catégorie de données et du nombre d'employés sur lesquels le système contient des informations. En fonction du niveau de sécurité, l'employeur doit prendre diverses mesures pour protéger les systèmes de traitement des données personnelles prévues aux paragraphes 13 à 16 des exigences approuvées par le décret du gouvernement de la Fédération de Russie du 1er novembre 2012 n° 1119. Par exemple, établir un régime pour assurer la sécurité des locaux dans lesquels se trouvent les données personnelles, nommer des personnes chargées d'assurer la sécurité des données personnelles dans le système d'information, etc. Exigences spécifiques pour les mesures spécifiées pour assurer la sécurité des données personnelles pendant leur traitement est établi par la composition et le contenu des mesures organisationnelles et techniques approuvées par arrêté du FSTEC de Russie du 18 février 2013 n° 21.

Pour contrôler la sécurité des données personnelles lors de leur traitement, l'employeur ou une personne autorisée par lui effectue des contrôles au moins une fois tous les trois ans, dont le calendrier précis est déterminé par l'employeur de manière indépendante. Si nécessaire, les organisations ou les entrepreneurs individuels titulaires d'une licence pour exercer des activités de protection technique des informations confidentielles peuvent être impliqués dans la réalisation d'une inspection sur une base contractuelle (article 17 des exigences approuvées par décret du gouvernement de la Fédération de Russie de 1er novembre 2012 n°1119).

Déclaration sur les données personnelles

Question de la pratique : Le Règlement sur le travail avec les données personnelles des salariés est-il un document obligatoire ?

Oui c'est le cas.

La procédure de stockage, de traitement et d'utilisation des données personnelles des employés est établie par l'employeur, en tenant compte des exigences du Code du travail de la Fédération de Russie et d'autres lois fédérales (). Cela signifie que l'employeur doit déterminer de manière indépendante la procédure d'un tel traitement et la consacrer dans un acte réglementaire local, en particulier le Règlement sur le travail avec les données personnelles des salariés. Tous les employés de l'organisation, lors de leur embauche, doivent être familiarisés avec le règlement à signer (partie 3 de l'article 68 du Code du travail de la Fédération de Russie).

Sur la base de ce qui précède, il s'ensuit que le Règlement sur le travail avec les données personnelles est un document obligatoire de l'organisation et que son absence entraîne une responsabilité administrative (). Les tribunaux le soulignent également (voir, par exemple, la résolution du Service fédéral antimonopole du district de Moscou du 26 octobre 2006 n° KA-A40/10220-06).

Un exemple de conception du Règlement sur le travail avec les données personnelles des employés

Le chef de l'organisation a approuvé le règlement sur le travail avec les données personnelles des employés.

Il n'y a pas de service du personnel dans l'organisation. Le comptable de l'organisation V.N. a été nommé responsable de la tenue des dossiers du personnel. Zaïtseva.

Question de la pratique : comment protéger les informations personnelles situées dans une base de données informatique

Afin d'empêcher tout accès non autorisé aux renseignements personnels situés dans une base de données informatique, le Règlement établit une procédure de protection de ces renseignements. Plus le risque d’accès non autorisé aux données personnelles est élevé, plus des mesures doivent être prises pour protéger ces informations. Par exemple, une organisation peut introduire un système de mots de passe individuels qui changeront à certains intervalles, limiter l'accès des employés aux ordinateurs sur lesquels des données personnelles sont stockées et stocker des disques et des disquettes contenant ces informations dans des armoires verrouillées.

Le traitement des données personnelles dans le système d'information doit être effectué conformément aux dispositions des paragraphes 8 à 16 des exigences approuvées par le décret du gouvernement de la Fédération de Russie du 1er novembre 2012 n° 1119.

Une organisation peut assurer la protection des données personnelles à la fois de manière indépendante et avec la participation d'organisations tierces autorisées à exercer des activités de protection des informations confidentielles. Ces précisions sont données au paragraphe 17 des exigences approuvées par le décret du gouvernement de la Fédération de Russie du 1er novembre 2012 n° 1119.

Question de la pratique : Est-il possible d’accorder aux salariés non RH le droit d’accéder aux données personnelles des autres salariés ?

Oui, vous pouvez le faire si les employés ont besoin d’accéder à ces informations pour effectuer certaines fonctions professionnelles.

Seules les personnes spécialement autorisées qui ont besoin d'un tel accès pour exécuter des fonctions spécifiques peuvent avoir accès aux données personnelles des employés. Ceci est indiqué dans le Code du travail de la Fédération de Russie.

En règle générale, en raison de la nature spécifique de leurs activités, les salariés doivent avoir accès aux données personnelles :

• employés du service du personnel;
• personnel comptable;
• le directeur général et, le cas échéant, ses adjoints ;
• chefs de service et supérieurs immédiats.

Dans ce cas, chacune de ces catégories de salariés se voit attribuer son propre niveau d'accès. Par exemple, les employés du service comptable peuvent avoir accès aux adresses des employés et à leur état civil, et les chefs de service peuvent avoir accès aux informations personnelles exclusivement concernant leurs subordonnés.

Les niveaux d'accès de certaines personnes, ainsi que la procédure spécifique de transfert des données personnelles des salariés au sein de l'organisation doivent être prescrits dans ses documents locaux, par exemple dans le Règlement sur la protection des données personnelles des salariés (paragraphe 5 de l'article 88 du Code du travail de la Fédération de Russie). Les personnes autorisées doivent être familiarisées avec les dispositions du document et averties de leurs droits et obligations, ainsi que de leur responsabilité quant à l'utilisation des informations à d'autres fins ().

Conseil: les conditions de publication des données personnelles des salariés sur le site Internet de l'entreprise sont précisées dans le Règlement relatif au travail avec les données personnelles. En parallèle, faites-y une annexe dans laquelle vous indiquez une liste des salariés qui sont d'accord (ou pas d'accord) avec la diffusion de données personnelles. Ainsi, l'exigence sera remplie et l'organisation pourra publier les données personnelles des employés qui acceptent un tel placement sur le site Web de l'entreprise.

Afin de garantir les droits de ses employés, l'organisation et ses représentants, lors du traitement des données personnelles, sont tenus de se conformer aux exigences régies par le Code du travail de la Fédération de Russie. Les personnes coupables d'avoir enfreint les règles régissant la protection des données personnelles sont passibles de responsabilités administratives et pénales (). Ou bien, ils peuvent être licenciés avec la mention « pour avoir divulgué les données personnelles d'un autre employé sur la base de l'alinéa « c » du paragraphe 6 de la partie 1 de l'article 81 du Code du travail de la Fédération de Russie ».

Question de la pratique : le chef d'une unité structurelle a-t-il le droit d'exiger du service comptable qu'il fournisse des informations mensuelles sur les salaires accumulés des employés qui lui sont subordonnés

Les informations sur les sommes accumulées par les salariés font référence aux données personnelles (clause 1, article 3 de la loi n° 152-FZ du 27 juillet 2006). Le supérieur immédiat peut les demander si l’autorisation appropriée est établie dans un acte réglementaire local et que le consentement de l’employé au traitement de ses données personnelles a été obtenu.

Dans le même temps, le tableau des effectifs contient des informations sur les salaires et les primes des employés. Le tableau des effectifs est un document local de l'organisation et ne concerne pas les données personnelles. Le chef d'une unité structurelle peut, le cas échéant, se référer à ce document si cela est prévu dans la description de poste du chef ou dans un acte local de l'organisation. Cela lui permettra d'obtenir les informations nécessaires sans contacter le service comptable.

Refus de traiter les données

Question de la pratique : que faire si une personne refuse de consentir au traitement de ses données personnelles

L’organisation a le droit de continuer à traiter les données personnelles d’une personne sans son consentement s’il existe certains motifs. Dans le même temps, le volume de ce traitement est assez important et permet à l'organisation de mener à bien ses activités courantes sans interruption.

En particulier, l'employeur ne peut pas exiger le consentement au traitement des données personnelles des candidats à la conclusion d'un contrat de travail et de droit civil, à l'envoi de rapports personnalisés aux autorités de la Caisse de retraite de la Fédération de Russie, aux déclarations fiscales au Service fédéral des impôts de Russie. , des informations sur les personnes astreintes au service militaire aux commissariats militaires, ainsi que pour le stockage de documents contenant des données personnelles, y compris les contrats de travail et civils, les cartes personnelles, les dossiers personnels, etc. C'est-à-dire lorsque l'employeur remplit les fonctions qui lui sont assignées par la loi .

Ces règles sont établies aux paragraphes 2 à 11 de la partie 1 de l'article 6, de la partie 2 de l'article 10 et de la partie 2 de l'article 11 de la loi du 27 juillet 2006 n° 152-FZ.

Pour mener à bien toutes les autres actions, l'organisation doit obtenir le consentement de la personne pour traiter ses données personnelles (partie 4 de l'article 9 de la loi du 27 juillet 2006 n° 152-FZ).

Attention: La législation en vigueur n'oblige pas une personne à donner son consentement au traitement des données personnelles, par conséquent le refus de sa part ne peut être considéré comme une violation et un motif de refus de conclure un contrat. Un employé ne peut pas non plus être licencié ou faire l'objet d'autres mesures disciplinaires pour avoir refusé de donner son consentement au traitement de données personnelles.

Question de la pratique : que faire si un employé refuse de fournir les données personnelles des membres de sa famille pour remplir les documents personnels

La dépersonnalisation des données personnelles fait référence aux actions à la suite desquelles il devient impossible de déterminer la propriété des données personnelles d'une personne spécifique sans l'utilisation d'informations supplémentaires ().

S'il est nécessaire de dépersonnaliser les données personnelles, les chefs d'organisation approuvent :

• règles pour travailler avec des données anonymisées ;
• liste des postes des employés chargés de mettre en œuvre les mesures d'anonymisation des données personnelles traitées.

Ces règles sont prévues à l'alinéa « b » du paragraphe 1 de la liste approuvée par le décret du gouvernement de la Fédération de Russie du 21 mars 2012 n° 211.

Les exigences et méthodes spécifiques de dépersonnalisation des données personnelles traitées dans les systèmes d'information sont établies dans les exigences et méthodes approuvées par l'ordonnance de Roskomnadzor n° 996 du 5 septembre 2013.

La principale exigence de la dépersonnalisation des données personnelles est d'assurer non seulement la protection contre toute utilisation non autorisée, mais également la possibilité de leur traitement. Pour ce faire, les données anonymisées doivent avoir des propriétés qui préservent les caractéristiques fondamentales des données personnelles anonymisées. Ces propriétés comprennent notamment :

• l'exhaustivité, c'est-à-dire la préservation de toutes les informations sur des personnes ou des groupes de personnes spécifiques qui étaient disponibles avant la dépersonnalisation ;
• la structuration, c'est-à-dire la préservation des liens structurels entre les données dépersonnalisées d'une personne ou d'un groupe de personnes particulier qui existaient avant la dépersonnalisation ;
• l'applicabilité, c'est-à-dire la capacité de résoudre les problèmes de traitement des données personnelles sans dépersonnaliser au préalable l'ensemble du volume d'enregistrements sur les personnes ;
• l'anonymat, c'est-à-dire l'impossibilité d'identifier sans ambiguïté les personnes concernées obtenues par dépersonnalisation, sans utilisation d'informations supplémentaires.

Les principales exigences relatives aux méthodes d'anonymisation des données personnelles sont :

• garantir les propriétés requises des données anonymisées ;
• le respect des exigences relatives aux caractéristiques des méthodes ;
• mise en œuvre de méthodes dans divers programmes;
• résoudre les tâches assignées de traitement des données personnelles.

Les méthodes de dépersonnalisation suivantes sont les plus prometteuses et les plus pratiques pour une utilisation pratique :

• la méthode d'introduction des identifiants, c'est-à-dire le remplacement d'une partie des données personnelles par des identifiants et la création d'un tableau de correspondance des identifiants avec les données d'origine ;
• méthode de modification de la composition ou de la sémantique, c'est-à-dire modifier la composition ou la sémantique des données personnelles en remplaçant les résultats du traitement statistique, en résumant ou en supprimant une partie des informations ;
• méthode de décomposition, c'est-à-dire diviser un ensemble de données personnelles en plusieurs parties avec stockage séparé ultérieur ;
• méthode de brassage, c'est-à-dire la réorganisation des enregistrements individuels, ainsi que des groupes d'enregistrements dans un tableau de données personnelles.

Par souci de sécurité lorsqu'elles travaillent avec des données personnelles d'employés, les organisations commerciales ont également le droit, mais ne sont pas obligées, de procéder à la dépersonnalisation (clause 3 de l'article 3 de la loi n° 152-FZ du 27 juillet 2006). Si une organisation décide d'anonymiser les données personnelles, la méthode spécifique d'anonymisation doit être inscrite dans une loi locale, par exemple dans le Règlement sur le travail avec les données personnelles des employés (article , Code du travail de la Fédération de Russie).

Contrôles du respect des exigences relatives au traitement des données personnelles

Comment sont effectués les contrôles de conformité du traitement des données personnelles

Roskomnadzor effectue des inspections auprès de l'employeur concernant le traitement des données personnelles. L'arrêté n° 312 du ministère des Télécommunications et des Communications de Russie du 14 novembre 2011 a approuvé le règlement administratif pour l'exécution par ce service des fonctions d'exercice du contrôle (supervision) de l'État.

Les sujets de contrôle sur les activités de l’employeur liées au traitement des données personnelles sont :

• documente la nature des informations dans lesquelles suggèrent ou permettent l'inclusion de données personnelles ;
• systèmes d'information sur les données personnelles;
• activités de traitement.

Roskomnadzor effectue des inspections programmées et imprévues sous la forme d'inspections documentaires ou sur place (loi n° 294-FZ du 26 décembre 2008). Les droits et obligations des fonctionnaires de Roskomnadzor lors des inspections sont déterminés, respectivement, par les paragraphes et les règlements administratifs approuvés par l'arrêté du ministère des Télécommunications et des Communications de masse de Russie du 14 novembre 2011 n° 312.

Le délai de contrôle des activités de l’employeur dans le traitement des données personnelles, tant lors des contrôles programmés que non programmés, ne peut excéder 20 jours ouvrables. Parallèlement, pour les petites entreprises, la durée totale des contrôles sur place programmés ne peut excéder un an :

• 50 heures - pour une petite entreprise ;
• 15 heures - pour une micro-entreprise.

Dans des cas exceptionnels, le délai pour effectuer une inspection programmée sur place peut être prolongé, mais pas plus de 20 jours ouvrables, et pour les petites et microentreprises - pas plus de 15 heures. Ceci est possible si lors de l'inspection il est nécessaire de :

• des recherches et des tests complexes et longs ;
• examens et enquêtes spéciaux.

Seuls les salariés qui se sont engagés à respecter les règles de travail avec les données personnelles et les ont violés () peuvent faire l'objet d'une responsabilité disciplinaire. Une responsabilité financière peut survenir si, en relation avec une violation des règles de travail avec les données personnelles, l'organisation subit un dommage réel direct ().

En cas de violation de la procédure de collecte, de stockage, d'utilisation ou de diffusion des données personnelles, l'organisation et ses responsables seront sanctionnés par une amende. Au cours d'une inspection, Roskomnadzor peut détecter plusieurs violations différentes. Il percevra alors plusieurs amendes à la fois.

Le montant des amendes dépend du type d'infraction commise. Ainsi, les fonctionnaires peuvent être condamnés à une amende de 3 000 à 20 000 roubles, les entrepreneurs individuels - de 5 000 à 20 000 roubles, les organisations - de 15 000 à 75 000 roubles. Pour plus d'informations sur les amendes en cas de violations liées à l'utilisation de données personnelles, consultez le tableau.

De telles mesures de responsabilité sont prévues dans les articles du Code des infractions administratives de la Fédération de Russie.

La responsabilité pénale du chef d'une organisation (une autre personne chargée de travailler avec des données personnelles) peut être engagée en cas d'illégalité :

• collecter ou diffuser des informations sur la vie privée d'un salarié qui constituent son secret personnel ou familial, sans son consentement ;
• diffusion de ces informations dans un discours public, une œuvre affichée publiquement ou dans un média.

Les sanctions suivantes sont prévues pour ces violations :

• une amende pouvant aller jusqu'à 200 000 roubles. (ou à hauteur des revenus de la personne condamnée pour une période pouvant aller jusqu'à 18 mois) ;
• travail obligatoire jusqu'à 360 heures;
• travail correctionnel jusqu'à un an;
• travail forcé pour une durée pouvant aller jusqu'à deux ans avec ou sans privation du droit d'occuper certains postes ou de se livrer à certaines activités pour une durée pouvant aller jusqu'à trois ans ;
• arrestation pour une durée maximale de quatre mois ;
• une peine d'emprisonnement pouvant aller jusqu'à deux ans avec privation du droit d'occuper certains postes ou de se livrer à certaines activités pour une durée pouvant aller jusqu'à trois ans.

Dans ce cas, sont punis les mêmes actes commis par une personne usant de sa fonction officielle :

• une amende de 100 000 à 300 000 roubles. (ou à hauteur des revenus du condamné pendant une durée d’un à deux ans) ;
• privation du droit d'occuper certains postes ou d'exercer certaines activités pendant une durée de deux à cinq ans ;
• travail forcé pour une durée pouvant aller jusqu'à quatre ans avec ou sans privation du droit d'occuper certains postes ou de se livrer à certaines activités pour une durée pouvant aller jusqu'à cinq ans ;
• arrestation pour une durée de quatre à six mois ;
• une peine d'emprisonnement pouvant aller jusqu'à quatre ans avec privation du droit d'occuper certains postes ou de se livrer à certaines activités pour une durée pouvant aller jusqu'à cinq ans.

Question de la pratique : Est-il possible de prévoir la non-divulgation d'informations confidentielles dans les contrats de travail des salariés ?

Oui, vous pouvez.

Mais uniquement pour les salariés qui travaillent directement avec des données personnelles : responsables RH, responsables RH, secrétaires (). Dans ce cas, lors de l'embauche, familiarisez le salarié avec la réglementation relative au travail avec les données personnelles.

Question de la pratique : Est-il possible de fournir par téléphone des informations sur le travail d’un employé dans une organisation à des représentants d’autres entreprises, comme des banques ?

Oui, c'est possible, mais uniquement avec le consentement écrit de l'employé lui-même.

Les données personnelles désignent toute information directement ou indirectement liée à une personne physique spécifique (objet des données personnelles) (partie 1 de l'article 3 de la loi du 27 juillet 2006 n° 152-FZ). Dans le même temps, la liste des données personnelles n'est pas exhaustive, c'est-à-dire que toute information relative à une personne spécifique constitue ses données personnelles. Ainsi, le lieu de travail et le fait de travailler lui-même, demandés à un organisme, par exemple par un établissement de crédit pour confirmer le fait de travail ou par un employeur potentiel concernant un ancien salarié, sont des données personnelles. Par conséquent, il n'est possible de transférer des données sur un employé vers d'autres organisations que dans le respect des exigences générales relatives au traitement des données personnelles, c'est-à-dire uniquement avec le consentement de l'employé lui-même (clause 3, partie 1, article 86 du Code du travail de la Fédération de Russie).

Ainsi, il est possible de fournir des informations sur le fait que des salariés travaillent par téléphone à des personnes non identifiées, y compris celles se faisant passer pour des spécialistes bancaires, mais uniquement avec le consentement écrit de l'employé lui-même, qu'il continue ou non à travailler dans l'organisation. ou a déjà arrêté.

Question de la pratique : L'employeur est-il tenu, à la demande de l'huissier de justice, de déclarer le fait de travailler dans l'organisation du salarié débiteur ?

Le fait de travailler dans une organisation fait référence aux données personnelles du salarié. L'huissier menant la procédure d'exécution a le droit de demander à l'organisation des informations sur les employés à l'égard desquels des décisions de justice concernant le paiement d'une pension alimentaire ou d'autres types de paiements accordés ont été rendues, y compris des informations relatives aux données personnelles. L'employeur n'a pas le droit d'ignorer cette demande. Ces règles sont fixées par la loi du 2 octobre 2007 n° 229-FZ.

Dans le même temps, l'employeur a le droit de signaler le fait de travailler dans l'organisation d'un employé débiteur sans son consentement au transfert de données personnelles à des tiers, car dans ce cas, le traitement des données personnelles est nécessaire à l'administration de la justice. , l'exécution d'un acte judiciaire soumis à exécution conformément à la législation de la Russie sur les procédures d'exécution (clause 3, partie 1, article 6, clause 6, partie 2, article 10, partie 2, article 11 de la loi du 27 juillet , 2006 n° 152-FZ).

Ainsi, l'employeur est tenu de répondre à la demande de l'huissier de justice concernant le fait du travail du salarié débiteur. Obtenir le consentement des employés

Margarita Orlova répond :

Chef du Département de l'administration des cotisations d'assurance du Service fédéral des assurances de Russie

«Pour confirmer le principal type d'activité d'une division distincte qui paie des cotisations de manière indépendante, soumettez les mêmes documents que pour l'organisation dans son ensemble. La seule différence est qu'ils reflètent uniquement les informations sur la division et les soumettent à la succursale de la Caisse d'assurance sociale du lieu d'enregistrement de cette division. Comment payer les cotisations jusqu'à ce que vous ayez reçu une notification de la Caisse d'assurance sociale concernant le tarif pour l'année en cours - vous le découvrirez dans la recommandation.

1. Le présent Règlement sur la tenue du registre des opérateurs effectuant le traitement (ci-après dénommé le Règlement) a été élaboré conformément à la loi fédérale du 27 juillet 2006 N « Sur les données personnelles » (ci-après dénommée la Loi) (Collectées Législation de la Fédération de Russie du 31 juillet 2006, N 31 (1 partie), article 3451), pour exercer les pouvoirs de tenue d'un registre des opérateurs traitant des données personnelles (ci-après dénommé l'Opérateur), attribués au Service fédéral pour Surveillance des communications de masse, des communications et de la protection du patrimoine culturel (ci-après dénommé le Service) conformément au Règlement sur le Service, approuvé par le décret du gouvernement de la Fédération de Russie du 06.06.2007 N 354 (Recueil de la législation de la Fédération de Russie Fédération, 06.11.2007, N 24, Art. 2923 ; N 52, Art. 6462).

2. Le présent règlement établit la procédure de tenue d'un registre des opérateurs traitant des données à caractère personnel (ci-après dénommé le registre).

3. Concepts utilisés dans le présent Règlement :

registre - liste, liste des opérateurs traitant des données personnelles ;

tenue d'un registre des opérateurs - les activités du Service, y compris la collecte, l'enregistrement, le traitement, le stockage et la fourniture de données qui constituent le système de tenue d'un registre des opérateurs traitant des données personnelles ;

opérateur - un organisme public, un organisme municipal, une personne morale ou une personne physique qui organise et (ou) effectue le traitement de données personnelles, ainsi que qui détermine les finalités et le contenu du traitement des données personnelles ;

traitement des données personnelles - actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation, le blocage, la destruction des données personnelles.

II. Composition des informations incluses dans le registre

4. Le registre contient les informations suivantes sur les opérateurs :

a) le numéro d'enregistrement ;

b) nom (nom, prénom, patronyme), adresse de l'opérateur ;

c) adresses des succursales (bureaux de représentation) de l'opérateur traitant les données personnelles (le cas échéant) ;

d) date d'envoi de la notification ;

e) la finalité du traitement des données personnelles ;

h) base juridique pour le traitement des données personnelles ;

i) une liste d'actions avec des données personnelles, une description générale des méthodes utilisées par l'opérateur pour traiter les données personnelles ;

j) une description des mesures que l'opérateur s'engage à mettre en œuvre lors du traitement des données personnelles pour assurer la sécurité des données personnelles lors de leur traitement ;

k) date de début du traitement des données personnelles ;

m) les modalités ou conditions de cessation du traitement des données personnelles ;

m) date et motifs de l'inscription au registre des opérateurs ;

o) date et motif de l'exclusion du registre des opérateurs ;

o) les modifications apportées.

III. Conditions d'inscription des opérateurs au registre

5. Les opérateurs sont inscrits au Registre si les conditions suivantes sont remplies :

Envoi d'une notification concernant le traitement (de l'intention de traiter) des données personnelles à l'administration territoriale du Service (ci-après dénommée la Notification). Les informations spécifiées dans la notification doivent être conformes à la partie 3 de l'article 22 de la loi ;

Enregistrement de la Notification reçue auprès de l'administration territoriale du Service, son traitement pour prendre une décision d'approbation ou de rejet ;

Signature d'un arrêté par le chef de Service ou l'administrateur général d'inscription de l'Opérateur au Registre.

6. L'original de la Notification envoyée par l'Opérateur avec les pièces jointes de tous les documents reçus doit être conservé dans la direction territoriale compétente du Service.

IV. La procédure d'inscription des opérateurs au registre

7. Sur la base des résultats de l'analyse des Notifications traitées par les services territoriaux du Service, le Service a le droit de vérifier l'exactitude et l'exhaustivité des informations fournies par les Opérateurs contenues dans la Notification, ou d'impliquer d'autres organismes gouvernementaux au sein les limites de leurs pouvoirs pour procéder à une telle vérification. Le Service a également le droit de demander aux personnes physiques ou morales les informations nécessaires à l'exercice de ses pouvoirs, et de recevoir gratuitement ces informations, y compris si elles sont nécessaires pour clarifier ou compléter des informations manquantes.

8. Sur la base des résultats de la vérification des informations contenues dans la Notification traitée, le Service, dans les trente jours à compter de la date de réception de la Notification, prend la décision d'inscrire l'Opérateur au Registre, qui est délivré sous la forme d'un arrêté du chef du Service ou de l'administrateur général du Service d'inscrire l'Opérateur au Registre.

9. Sur la base de l'ordonnance émise, une inscription concernant l'Opérateur est effectuée dans le Registre, auquel est attribué un numéro d'enregistrement.

10. La date d'inscription de l'Opérateur au Registre est considérée comme la date de signature de la commande.

11. Les informations relatives à l'inscription de l'Opérateur au Registre doivent être publiées sur le site officiel du Service au plus tard trois jours à compter de la date de signature de la commande.

V. Procédure de tenue du Registre

12. Le Registre est tenu à jour au moyen d'un système d'information unifié (ci-après dénommé l'ISU) sous forme électronique.

13. Le Registre est tenu par le Service qui, sous réserve des conditions définies par le présent Règlement, inclut les Opérateurs dans le Registre en effectuant les inscriptions pertinentes dans le Registre, modifie les informations contenues dans ces inscriptions, exclut les Opérateurs du Registre en complétant précédemment effectué des inscriptions avec des informations sur l'exclusion des opérateurs du registre.

14. Si les informations contenues dans la notification changent après que l'opérateur est inscrit au registre, il est tenu d'informer le service des changements dans les dix jours ouvrables à compter de la date de ces changements. Ces modifications au Registre s'effectuent sur la base d'un arrêté du chef de Service ou de l'administrateur général et n'entraînent pas de modification du numéro d'inscription de l'inscription correspondante au Registre.

15. Les informations contenues dans le Registre, à l'exception du sous-paragraphe « k » du paragraphe 4 du présent Règlement, sont accessibles au public.

16. Les informations sur le Registre sont publiées sur le site officiel du Service.

17. Les opérateurs inscrits au Registre ont le droit de recevoir un extrait du Registre sur demande écrite adressée au Service au plus tard trente jours.

VI. La procédure d'exclusion des opérateurs du Registre

18. La question de l'exclusion de l'Opérateur du Registre est examinée dans les cas suivants :

Réception par le Service ou ses services territoriaux d'une demande écrite (demande) de l'Opérateur inscrite au Registre d'exclusion avec justification jointe ;

Prendre des mesures par le Service ou ses services territoriaux pour suspendre ou mettre fin par l'Opérateur au traitement de données personnelles effectué en violation des exigences de la Loi.

19. Les opérateurs sont exclus du registre lorsque l'une des conditions suivantes est remplie :

Liquidation de l'Opérateur ;

Cessation des activités de l'Opérateur à la suite de sa réorganisation, à l'exception de la réorganisation sous forme de transformation ;

Annulation de la licence pour exercer les activités autorisées de l'Opérateur, si la condition de la licence pour exercer de telles activités est une interdiction de transfert de données personnelles à des tiers sans le consentement écrit du sujet des données personnelles ;

L'arrivée du délai ou des conditions de cessation du traitement des données personnelles précisées dans la Notification ;

Une décision de justice relative à la cessation par l’opérateur des activités liées au traitement des données personnelles ;

D'autres établis par la législation de la Fédération de Russie dans le domaine des données personnelles.

20. La décision d'exclusion de l'Opérateur du Registre est formalisée par arrêté du chef du Service ou de l'administrateur général du Service.

Sur la base de l'ordonnance émise, des informations sur l'exclusion de l'opérateur du registre sont inscrites au registre. Une fois l'opérateur exclu du registre, le numéro d'enregistrement de l'entrée correspondante n'est plus utilisé à l'avenir.

21. Les informations relatives à l'exclusion de l'Opérateur du Registre doivent être publiées sur le site officiel du Service sur Internet au plus tard trois jours à compter de la date de signature de la commande.

La loi sur les données personnelles n° 152-FZ du 27 juillet 2006 oblige toute personne impliquée dans le traitement des données personnelles à s'inscrire dans un registre spécial. De quel type de registre s'agit-il, pour qui l'inscription est obligatoire et comment se déroule la procédure d'enregistrement - c'est le sujet de notre article.

Qui est l'exploitant des données personnelles

La loi n° 152-FZ désigne les opérateurs comme des agences gouvernementales, des organisations et des individus qui collectent des données personnelles, et déterminent également de manière indépendante les finalités de la collecte, la composition des informations et les actions effectuées avec celles-ci (article 3 de la loi n° 152-FZ). FZ).

En termes simples, un opérateur de données personnelles est quelqu'un qui utilise les données personnelles des citoyens à des fins de travail et autres relations. Leur tâche principale est de maintenir la confidentialité des données personnelles reçues, c'est-à-dire interdiction de transférer des données à des tiers et de les diffuser sans le consentement de la personne, sauf si ces données sont anonymisées.

Registre des opérateurs de données personnelles de Roskomnadzor

Avant de commencer le traitement des données personnelles, l'opérateur est tenu d'informer l'organisme gouvernemental autorisé à tenir le registre des opérateurs de données personnelles - Roskomnadzor (partie 1, article 22 de la loi n° 152-FZ). Ce service fédéral supervise le domaine des communications, des communications de masse et des technologies de l'information. Le contrôle de l'État sur le traitement des données personnelles par les opérateurs, conformément à la loi, est également exercé par Roskomnadzor. À ces fins, elle effectue des contrôles auprès des opérateurs de données personnelles, conformément aux réglementations approuvées par l'arrêté du ministère des Télécommunications et des Communications de masse de la Fédération de Russie du 14 novembre 2011 n° 312.

Vous pouvez consulter le registre des opérateurs de traitement des données personnelles sur le site officiel de Roskomnadzor ; ses informations sont accessibles au public.

Il suffit de déposer une notification une fois pendant toute la durée d'activité de l'opérateur. Parallèlement, la loi contient une liste d'exceptions lorsqu'il est possible de travailler avec des données personnelles sans inscription au registre des opérateurs de données personnelles (partie 2 de l'article 22 de la loi n° 152-FZ) :

• lorsque les opérateurs-employeurs traitent uniquement les données obtenues conformément à la législation du travail ;
• si l'opérateur a reçu des données de la contrepartie dans le cadre de la conclusion d'un accord et ne les utilise pas à des fins autres que l'exécution de l'accord ;
• lorsque l'opérateur de données personnelles est un organisme religieux ou public qui traite les données personnelles de ses participants aux fins prévues par sa charte ;
• si le citoyen lui-même a rendu publiques ses données personnelles ;
• si les données personnelles n'incluent rien d'autre que le nom complet ;
• lorsque des données sont reçues pour l'émission d'un laissez-passer unique ;
• lors du traitement de données personnelles par les systèmes d'information automatisés de l'État ;
• si les données personnelles sont traitées « sur papier », c'est-à-dire sans recours à l'automatisation ;
• lorsque les données sont utilisées pour assurer la sécurité des systèmes de transport.

Toute personne qui ne figure pas sur cette liste est tenue de soumettre une notification pour être inscrite au registre des opérateurs de données personnelles de Roskomnadzor. De nombreux entrepreneurs individuels et organisations ignorent cette exigence ou l'apprennent trop tard. Mais vous pouvez soumettre ultérieurement une notification d'inscription au registre, en y indiquant la date réelle du début du traitement des données personnelles, et aucune pénalité ne sera appliquée en cas de retard.

Comment avertir Roskomnadzor

Pour soumettre une notification concernant le traitement des données personnelles, l'opérateur du traitement des données personnelles doit remplir un formulaire électronique sur le site Web de Roskomnadzor. Le formulaire de notification contient :

• des informations sur l'opérateur lui-même (nom, INN, OGRN, adresse de localisation, numéro de téléphone, numéros de licence, etc.) ;
• base juridique et finalités du traitement des données conformément à la loi ;
• description des mesures et moyens de protection des données personnelles ;
• la date effective du début du traitement des données personnelles par l'opérateur ;
• les conditions dans lesquelles le traitement prendra fin (par exemple, en cas de révocation d'une licence d'exploitation), ou une période de résiliation spécifique ;
• catégories de données personnelles faisant l'objet d'un traitement (nom, année de naissance, état civil, adresse de résidence, profession, revenus, état de santé, etc.), utilisation de données biométriques ;
• actions avec des données personnelles et modalités de leur traitement (automatisées ou non, avec transmission via Internet ou non, etc.) ;
• données du responsable du traitement des données personnelles.

Après avoir rempli la notification électronique, l'opérateur de données personnelles l'envoie à Roskomnadzor et une autre copie est imprimée sur papier. La version imprimée est signée par le gérant et certifiée par un sceau. Il doit être accompagné d'un ensemble de documents nécessaires (Règlement sur les données personnelles, formulaire de consentement au traitement, arrêté de nomination des personnes responsables, etc.) et envoyé au bureau territorial de Roskomnadzor par courrier.

30 jours sont impartis pour l'inscription au registre à compter de la date de réception de la notification par Roskomnadzor. Vous pouvez suivre l'état de la notification envoyée sur le même site Web.

Si Roskomnadzor considère que les informations spécifiées dans la notification sont incomplètes ou peu fiables, elle peut demander des éclaircissements à l'opérateur. En cas de modification des données, l'opérateur doit en informer l'autorité de contrôle dans les 10 jours pour apporter des modifications au registre.

Dans quelques jours seulement, le 1er juillet 2017, les modifications apportées au Code des infractions administratives et le renforcement de la responsabilité en cas de non-respect (ci-après dénommée la loi n° 152-FZ) entreront en vigueur. Il y avait suffisamment d'informations sur ce sujet, "Clerk" a également écrit à ce sujet.

Mais des questions demeurent.

On a l’impression qu’il y a juste une agitation autour de ce sujet. Que s’est-il réellement passé ? En général, la loi n'a pas changé. Des modifications n'y ont été apportées qu'en termes d'amendes.

Or, selon l'art. 13.11 du Code administratif, il n'y a qu'une seule infraction passible d'une amende de 10 000 roubles pour les personnes morales. Après le 1er juillet, ils seront sept et l'amende totale pourrait atteindre 295 000 roubles.

Pourquoi les autorités récupèrent-elles les données personnelles maintenant ? Toutes les amendes, qui entrent en vigueur le 1er juillet, constituent les violations les plus courantes identifiées par Roskomnadzor au cours des cinq dernières années.

L'une des principales questions : tous les sites doivent-ils vraiment s'enregistrer en tant qu'opérateur de données personnelles auprès de Roskomnadzor ?

Il s'avère que non. Il est possible d'éviter ce besoin. Mais comme ? Les données reçues des utilisateurs doivent être traitées sur la base du contrat d'utilisation. Le paragraphe 2 de la clause 2 de l'article 22 de la loi n° 152-FZ prévoit ce qui suit.

Nous citons :

«...2. L'opérateur a le droit de traiter les données personnelles sans en informer l'organisme habilité pour la protection des droits des personnes concernées :

…2) reçus par l'opérateur dans le cadre de la conclusion d'un accord auquel la personne concernée est partie, si les données personnelles ne sont pas distribuées et ne sont pas fournies à des tiers sans le consentement de la personne concernée et est utilisé par l'opérateur uniquement pour l'exécution de l'accord spécifié et la conclusion d'accords avec le sujet des données personnelles ;"

Si le site Web d'une organisation ou d'un individu dispose d'un formulaire de collecte de données sur les visiteurs - par exemple, un formulaire de commentaires, une ligne d'abonnement à une newsletter, une inscription ou un compte personnel, cela est considéré comme un traitement de données personnelles.