Image

Transfert de données personnelles à des tiers

Sélection des documents les plus importants sur demande Transfert de données à caractère personnel à des tiers (réglementations, formulaires, articles, conseils d'experts, etc.).

Réglementation: Transfert de données personnelles à des tiers

Articles, commentaires, réponses aux questions: Transfert de données personnelles à des tiers

Le document est disponible: dans la version commerciale Consultant Plus

Formes de documents: Transfert de données personnelles à des tiers

Le document est disponible: dans la version commerciale Consultant Plus

Le document est disponible: dans la version commerciale Consultant Plus

Article TKRF 88. Transmission de données à caractère personnel du travailleur

Commentaire sur l'article 88

1. En règle générale, les données personnelles de l’employé ne peuvent pas être transférées à un tiers. Les exceptions à cette règle sont: 1) la délivrance par l’employé d’un consentement écrit pour le transfert de données à caractère personnel à un tiers; 2) transfert des données personnelles de l'employé afin de prévenir les menaces à la vie et à la santé de l'employé; 3) les cas établis par la loi fédérale.

2. Pour déterminer si un employé doit donner son consentement écrit au transfert de données à caractère personnel à un tiers, il convient de s’inspirer de la Constitution de la Fédération de Russie et du paragraphe 9 de l’art. 86 du Code du travail en interdisant à un employé d'exercer son droit au respect de sa vie privée et à ses secrets personnels et familiaux. Pour le contenu d'un tel accord, voir le paragraphe 3 des commentaires à l'art. 86

3. Les destinataires des données personnelles d'un employé sur une base légale sont:

Fonds d'assurance sociale de la Fédération de Russie;

Fonds de pension de la Fédération de Russie;

Inspection fédérale du travail;

Autres organes de surveillance et de contrôle de l’État sur le respect de la législation du travail;

Autorités exécutives, syndicats impliqués dans les enquêtes sur les accidents du travail.

Conformément à l'art. 5 de la loi fédérale du 24 juillet 1998 N 125-FZ "sur l'assurance sociale obligatoire contre les accidents du travail et les maladies professionnelles", les personnes qui exercent un travail sur la base d'un contrat de travail sont soumises à l'assurance sociale obligatoire contre les accidents du travail et les maladies professionnelles. Le paragraphe 7 de l'art. 17 de cette loi oblige l'employeur à rassembler et à soumettre à ses frais à l'assureur, dans les délais fixés par celui-ci, les documents servant de base au calcul et au paiement des primes d'assurance, à la souscription de la couverture d'assurance et aux autres informations nécessaires à la mise en œuvre de l'assurance sociale obligatoire contre les accidents du travail et les maladies professionnelles.

L'employeur est tenu de fournir à l'organe compétent de la Caisse de pension de la Fédération de Russie des informations sur toutes les personnes qui travaillent sous contrat de travail. Ces informations peuvent être fournies soit sous forme de documents écrits, soit sous forme électronique (sur des supports magnétiques ou par des canaux de communication), à condition que leur authenticité soit garantie et que leur protection contre les accès non autorisés et les distorsions soit garantie. La question de la possibilité de fournir des informations sous forme électronique est tranchée par le fonds de pension de la Fédération de Russie ainsi que par des employeurs spécifiques (article 8 de la loi fédérale du 1 er avril 1996 N 27-ФЗ sur la comptabilité individuelle (personnalisée) dans le système d'assurance pension obligatoire).

En tant que mandataire fiscal d’employés qui calculent, déduisent des fonds versés aux employés et transfèrent les taxes correspondantes au budget, l’employeur est tenu de soumettre à l’administration fiscale du lieu de son enregistrement les documents nécessaires au contrôle de l’exactitude du calcul, de la retenue à la source et du transfert (Art. 24 du code des impôts de la Fédération de Russie).

Conformément à l'art. Dans le cadre des activités de contrôle, les inspecteurs du travail des États membres ont le droit de demander gratuitement aux employeurs les documents et informations nécessaires à l'exercice des fonctions de contrôle et de surveillance, y compris les données personnelles des employés.

Les informations relatives à un accident de groupe sur le lieu de travail, un accident grave au travail, un accident du travail ayant une issue fatale doivent être envoyées par l'employeur aux organisations mentionnées à l'art. 228.1 TC.

Conformément à la partie 5 de l'art. 20 de la loi fédérale du 27 juillet 2004, N 79-З "sur la fonction publique de la Fédération de Russie", sur les obligations des fonctionnaires fédéraux nommés et révoqués par le président de la Fédération de Russie ou par le gouvernement de la Fédération de Russie pour publication aux médias de toute la Russie lors de leurs appels avec information simultanée des fonctionnaires désignés à ce sujet et information sur les revenus, les biens et les obligations ah la nature de la propriété de la fonction publique du sujet de la Fédération de Russie pour publication prévue médias nationaux et régionaux sur leurs applications en même temps pour l'informer de ces fonctionnaires.

4. Dans les conditions modernes, un employeur fournit souvent à ses contreparties potentielles ou réelles des informations sur les employés qu’il emploie afin de conclure un nouveau contrat ou de renouveler un contrat déjà conclu. L'article commenté autorise le transfert des données personnelles d'un employé dans l'intérêt commercial de l'employeur, mais limite ce transfert aux seuls cas où l'employé donne son consentement écrit à la communication de données à caractère personnel à un tiers spécifique par écrit. L'émission d'un consentement pour le transfert des données à caractère personnel des employés à un cercle indéfini de tiers ou sans limitation du calendrier de ce transfert n'a pas de conséquences juridiques et ne peut pas servir de base au transfert des données à caractère personnel des employés.

5. Les données à caractère personnel étant classées comme des informations confidentielles, toute personne en possession de ces informations est tenue de respecter un mode particulier d'utilisation et de protection des données à caractère personnel des employés. Ainsi, les personnes qui ont obtenu légalement des données personnelles d'un employé sont obligées de les utiliser exclusivement aux fins qui ont été énoncées lors de la demande d'informations pertinentes et de ne pas divulguer de telles informations. Les exceptions à cette règle ne sont déterminées que par les lois fédérales. La nécessité de poursuivre le transfert des données à caractère personnel des employés peut notamment découler de la législation sur les infractions administratives et de la législation de procédure pénale. Par exemple, un protocole relatif à une infraction administrative, pouvant contenir des données personnelles d'un employé, dans le cas où la personne qui l'a créée n'a pas le droit d'examiner un cas d'infraction administrative, est transféré à la personne concernée dans les 24 heures suivant la compilation du protocole. RF).

Un employeur qui transfère des données à caractère personnel d'employés à des tiers est en droit d'exiger de ces personnes une utilisation strictement ciblée de ces données et la présentation de preuves du respect de cette règle. La forme d’une telle exigence est déterminée par l’employeur indépendamment, et le formulaire de présentation de la preuve de l’exécution par un tiers de son obligation de préserver la confidentialité des données à caractère personnel est convenu par les parties.

6. Les activités de tout employeur entraînent inévitablement la nécessité de transférer périodiquement les données à caractère personnel d'un employé d'une unité structurelle (employé) à une autre. Ainsi, des informations sur un nouvel employé ou sur des modifications de données à caractère personnel sont transmises par le service du personnel au service de la comptabilité ou au service de sécurité. Ce transfert est effectué de la manière prescrite par l'acte de réglementation local. L’instauration de l’obligation de familiariser un employé avec un tel acte avec une peinture contribue à la transparence du travail sur le traitement des données à caractère personnel et à une réalisation plus complète du droit humain à la protection de l’inviolabilité de sa vie personnelle.

En ce qui concerne les actes réglementaires locaux, voir art. 8 TC et commentaires à ce sujet.

7. L'accès aux données à caractère personnel des employés en cours de traitement est limité au cercle de personnes pour qui le traitement des données pertinentes constitue l'une de leurs fonctions officielles (personnel, comptabilité et autres services). Le droit d'accès aux données à caractère personnel des employés est également accordé aux personnes exerçant des fonctions de supervision et de contrôle du respect de la législation du travail par les employeurs, ainsi qu'aux personnes contrôlant l'exactitude des obligations de l'employeur en tant qu'agent fiscal d'un employé ou d'un assuré dans le système d'assurance obligatoire de l'État. Pour plus d'informations sur les personnes exerçant des fonctions de supervision et de contrôle du respect du droit du travail par les employeurs, voir art. Art. 357, 366 - 369 TC et leurs commentaires.

Il convient de noter que la règle établie par l'article commenté selon laquelle ces personnes qui obtiennent uniquement les données à caractère personnel dont elles ont besoin pour remplir des fonctions spécifiques est difficile à mettre en œuvre dans la pratique. Les données personnelles du salarié sont rassemblées dans son dossier personnel, ne sont pas sujettes à la fragmentation et, en principe, peuvent être vérifiées par la personne exerçant pleinement les fonctions de contrôle. Il est possible de satisfaire aux exigences de la loi en travaillant clairement avec des personnes exerçant des fonctions de supervision et de contrôle du respect de la législation du travail, par des employés employés par un employeur donné et dont le travail consiste à travailler avec des données à caractère personnel.

Lors du transfert de données à caractère personnel au sein d'une organisation vers l'unité structurelle appropriée (employé), la partie des données à caractère personnel nécessaire à une unité structurelle spécifique (employé) pour l'exécution de ses fonctions doit être transférée.

8. Les informations sur l'état de santé d'un citoyen sont un secret médical. Conformément à l'art. 61 des Principes fondamentaux de la législation sur la protection de la santé des citoyens du 22 juillet 1993, le transfert d'informations à un employeur constituant un secret médical est autorisée avec le consentement d'un citoyen ou de son représentant légal. Les exceptions sont les cas où des informations sur l’état de santé de l’employé sont transmises à l’employeur lorsqu’il existe une menace de propagation de maladies infectieuses, d’empoisonnements graves et de blessures, ou s’il ya lieu de croire que la santé d’un citoyen a été causée par des actes illégaux. Les informations sur l'état de santé mentale d'un citoyen ne peuvent être transmises à un employeur que dans les cas prévus par les lois fédérales (art. 8 de la loi de la Fédération de Russie du 2 juillet 1992, N 3185-1 "sur l'assistance psychiatrique et la garantie des droits des citoyens").

L'article commenté limite le droit de l'employeur de recevoir des informations sur l'état de santé d'un employé avec les données sur la base desquelles la question de savoir si l'employé peut effectuer une fonction spécifique est résolue. Bien que l’article commenté permette à un employeur de recevoir des informations sur l’état de santé de l’employé (c’est-à-dire une personne qui a déjà noué une relation de travail avec un employeur), il convient de noter que cet employeur a besoin d’informations sur l’état de santé d’un citoyen au moment de la décision de conclure un contrat de travail. L’employeur obtient ces informations à la suite d’un examen médical lors de la conclusion du contrat de travail. Pour plus d'informations à ce sujet, voir art. 69 TC et commentaires à ce sujet.

Lorsqu'un employeur reconnaît le droit d'attirer les travailleurs sur les heures supplémentaires, les week-ends et les vacances non travaillées, il devrait être informé de l'admissibilité de lui faire venir pour des raisons médicales les personnes handicapées, les femmes ayant des enfants de moins de trois ans (articles 99 et 113 du Code du travail). ). Afin de déterminer l'aptitude de l'employé à effectuer le travail imparti et à prévenir les maladies professionnelles, l'employeur doit disposer d'informations sur la santé des travailleurs effectuant des travaux pénibles, des conditions de travail néfastes et (ou) dangereuses, associées à la circulation. Afin de protéger la santé publique, un employeur devrait disposer d'informations sur l'état de santé des travailleurs employés dans des organisations des secteurs de l'industrie alimentaire, de la restauration et du commerce, des infrastructures hydrauliques, des soins de santé et des crèches. Pour plus d'informations à ce sujet, voir art. Art. 65, 69, 213 TC et leurs commentaires.

9. Les représentants des employés lors de l'obtention de données à caractère personnel d'un employé sont des tiers. La transmission de ces informations aux représentants des travailleurs est effectuée conformément aux restrictions et règles établies par l'article commenté. Les représentants des employés sont tenus de respecter le régime de confidentialité des données personnelles des employés qu’ils ont reçues.

Sur les représentants des travailleurs, voir art. Art. 29 - 31 TC et leurs commentaires.

La gamme d'informations sur l'employé, transmise aux représentants des employés, est déterminée par les fonctions de ces représentants. La fonction universelle de tout représentant d’employés dans le domaine des relations de travail est la fonction de participation aux négociations collectives en vue de la conclusion d’un accord collectif. L'information universelle qui doit être transmise aux représentants des travailleurs est l'information nécessaire pour la négociation collective.

Un syndicat en tant que représentant des travailleurs peut également remplir des fonctions sociales spéciales définies par sa charte. Pour remplir ces fonctions, le syndicat devrait notamment disposer d'informations sur le cercle des personnes à la charge du salarié, la nécessité d'un traitement spécialisé pour le salarié, etc. La communication de ces informations, contrairement aux informations nécessaires à la négociation collective, n'est pas soumise à une loi fédérale spécifique. soumis avec le consentement écrit de l'employé.

Commentaires sur le Code du travail de la Fédération de Russie

Conditions requises pour le transfert de données personnelles à des tiers

En tant que propriétaire d'une entreprise privée, gestionnaire ou citoyen averti, vous devez surveiller en temps utile la législation de la Fédération de Russie et ses modifications. Récemment, ces questions d'actualité sont devenues la norme des données sur les citoyens.

Concept, objet et sujet

Les données personnelles sont considérées comme des informations fiables ayant un lien avec une personne purement spécifique. Ces informations comprennent:

  • âge, informations sur la date de sa naissance;
  • la ville de sa naissance et de son enregistrement;
  • Nom complet
  • reçu l'éducation;
  • niveau de salaire;
  • état matrimonial.

C’est-à-dire que c’est l’information qui vous permet de déterminer sans aucun doute de qui il est parlé.

L'une des exigences les plus importantes de la loi est la confidentialité et la non-divulgation à des tiers.

Le sujet PD est la personne dont les données sont utilisées. Aujourd’hui, les normes de la loi réglementent clairement et strictement ce qui est possible et ce qui ne peut pas être fait avec une personne physique. Vous pouvez effectuer des actions uniquement quand il n'est pas opposé. Il existe une liste de faits lorsque ce consentement doit être écrit à la main. Par exemple, l’utilisation d’informations sur la nationalité, les préférences politiques, tout fait sur la santé du sujet et sur sa vie fermée.

De plus, personne n'est autorisé à placer un tel accord (PD) (données personnelles) sur des canaux connus, par exemple sur Internet.

Quel est l'objet de PD? C'est principalement:

  • données caractérisant une personne particulière;
  • les faits de savoir si une personne est mariée;
  • des faits identifiables, ainsi que des informations sur les ancêtres et les biographies;
  • informations sur les maladies et les traitements.

Des objets d'informations personnelles peuvent être trouvés dans des documents tels que:

  • un passeport de citoyen ou un autre porteur précieux d'une carte d'identité;
  • certificats contenant des informations sur les montants reçus de la société précédente;
  • documents pour l'enfant, certificat de mariage;
  • un questionnaire que les employeurs sont invités à remplir lorsqu'ils se présentent pour un entretien;
  • certificat ou autre document sur l'éducation;
  • fiche d'emploi;
  • carte d'identité militaire;

Nuances de la législation

La portée des questions ci-dessus est régie par la Constitution de la Fédération de Russie, la législation fédérale de notre pays et les accords internationaux conclus par la Fédération de Russie.

La loi fédérale n ° 152-З du 27 juillet 2006 sur les données à caractère personnel régit ces relations de manière très approfondie.

  • la légitimité des objectifs et des méthodes de traitement de la MP;
  • Inadmissibilité dans l'utilisation d'informations excessives qui ne répondent pas à l'objectif;
  • les méthodes et types d'actions doivent être justifiés par les objectifs.

Se concentrer sur le résultat peut être très différent. Parmi eux se trouvent:

  • emploi d'un citoyen sur le lieu de travail;
  • la fourniture de services médicaux;
  • dispositif à la maternelle, à l'école, au camp;
  • assurer la sécurité des employés.

Le respect de la loi est également régi par le Code du travail. Par exemple, la partie 8 de l'art. 86 du Code du travail de la Fédération de Russie stipule que tous les employés ou leurs représentants légaux doivent signer le règlement sur les données.

En règle générale, dans ce cas, l’employeur établit le journal nécessaire à la collecte et à la conservation des signatures.

Chiffre d'affaires de l'information

Le chiffre d’affaires de PD comprend une variété d’opérations, dont nous traiterons ci-dessous.

Fourniture d'informations - actions selon lesquelles les données sont transférées à d'autres personnes.

Actuellement, la liste des organisations qui en font la demande est assez impressionnante:

  • les écoles;
  • les hôpitaux;
  • banques et autres établissements de crédit;
  • organisations qui postulent à un emploi et bien d’autres.

Absolument, toute entreprise devrait se conformer à la loi, entre les mains de laquelle tombent des informations individuelles sur des personnes. Par exemple, de nombreuses entreprises vendant des biens ou des services collectent des données auprès de leurs clients. Ils doivent agir clairement à cet égard. Une LLC ou un entrepreneur individuel doit modifier les formulaires de documents contractuels avec ses employés et ses clients. En option, développez et indiquez dans le contrat une forme spéciale de consentement pour le traitement de la DP.

Le traitement est l'harmonisation des données conformément au système, la procédure de collecte, d'accumulation, de stockage et de transmission, l'utilisation conformément aux objectifs, la suppression et d'autres manipulations à la connaissance d'un individu.

Astuce! Sur le site Web de la société, où la commande est passée, il est recommandé de faire une marque obligatoire des informations personnelles. Que le client accepte de leur fournir. Et aussi le fait que les employés de l'entreprise ont le droit de les envoyer au service de courrier.

Il convient de rappeler que toute utilisation de données à caractère personnel ne peut être que volontaire, à l'exception de certains cas prévus par la loi.

Régule les relations ci-dessus entre le sujet et l'opérateur (l'organisation qui collecte, traite, utilise les données) Spetsorgan - Roskomnadzor. Périodiquement, ce sont des inspections programmées dans diverses organisations. En plus de Roskomnadzor, Rostrud peut contrôler le respect de la loi fédérale. Un dirigeant compétent n'attendra pas la prochaine amende, mais créera dans son organisation sur la base d'une politique concernant le traitement de la maladie de Parkinson.

Il inclura des ordres, des connaissances, des règlements et des actes pour tous les employés de l'organisation.

Le règlement intérieur peut, par exemple, contenir les aspects suivants:

  1. En quoi consistent exactement les données personnelles dans tel ou tel cas?
  2. Les informations réelles que les documents que l'employeur fournira aux autorités.
  3. Lequel des collègues aura le droit de travailler avec PD. En conséquence, qui sera responsable du respect de toutes les lois et de tous les règlements.
  4. Quelles sont les mesures utilisées en matière de préservation et de confidentialité?
  5. La procédure de transfert des faits concernant un individu au sein de l'entreprise et à des tiers.
  6. La procédure de clarification des informations personnelles, l’ordre de leur blocage et de leur suppression.

Caractéristiques de la fourniture de données personnelles

Dans la partie 1 de l'art. 9 de la loi n ° 152-FZ, il est dit qu'un citoyen ne peut s'accorder en pleine conscience et compréhension de ce qu'il fait. Le but de ce règlement est de garantir les droits et libertés d'un citoyen, y compris la vie privée, ainsi que les secrets de famille.

Un citoyen a le droit de refuser à tout moment le consentement précédemment donné s'il ne souhaite pas le divulguer. Surtout si ces informations portent en quelque sorte atteinte à ses droits et intérêts. Vous pouvez le faire en écrivant une déclaration dans un format spécifique. Il est nécessaire de le faire en deux exemplaires, l'un reste sur les mains avec une marque de l'autre remise à l'opérateur.

Cependant, dans de nombreuses organisations, y compris dans le domaine de l'emploi, l'utilisation de données relatives à une personne est obligatoire pour entrer en relation contractuelle. Sous cette condition, vous ne pouvez pas refuser de fournir.

En plus de l'accord sur l'utilisation de la PD, il est nécessaire de recevoir une décision positive sur le transfert à 3 personnes.

Il existe certaines exceptions lorsque des personnes peuvent transférer les données décrites ci-dessus à un citoyen sans son consentement. Ces cas incluent:

  • lorsqu'il est transféré à l'inspection des impôts et à l'autorité militaire;
  • à la demande de la police ou du procureur;
  • service en cas de menaces contre la vie et la santé humaines;
  • sur la lettre des inspecteurs du travail;
  • en cas d'atteinte grave à la vie et à la santé de l'autorité compétente.

Dans le même temps, un établissement de crédit, des employés de banque, des employés de compagnies d’assurances ne sont pas inclus dans cette liste. Là l'information obtient avec le consentement de la personne.

Responsabilité pour violations

En cas de non-respect des exigences de responsabilité administrative. Selon l'article 13.11 du Code des infractions administratives de la Fédération de Russie, la peine n'est pas si grave - un avertissement ou une amende d'un montant de 500 à 1 000 roubles (pour les civils), de l'ordre de 5 000 à 10 000 roubles (pour les personnes morales). Une telle responsabilité relativement facile est incommensurable avec la complexité et l’encombrement du document lui-même. Des amendements à la loi sont actuellement en attente, selon lesquels les amendes peuvent être portées à 300 000 roubles.

Outre une peine aussi légère, la loi contient des informations sur la possibilité d'engager une procédure pénale dans certains cas.

La loi est adoptée - cela signifie qu’elle doit être respectée, en suivant en temps utile les modifications et les changements.

Pour plus de détails sur le transfert de données personnelles, voir la vidéo ci-dessous.

alishavalenko.ru

Enregistrements récents

Commentaires récents

Les rubriques

Transfert d'un numéro de téléphone à des tiers en violation de la loi sur les données personnelles

  • 07.28.2018 /
  • 0 commentaires

De plus, si ce numéro est attribué à une personne spécifique dans le cadre d’un contrat avec un opérateur de télécommunication, il n’est pas du tout nécessaire de parler de la nature impersonnelle de la composition de numéros. Et en effet, selon l'art. 3 de la loi, données personnelles - toute information relative à une personne déterminée (déterminée ou non) directement ou indirectement (sujet des données personnelles), c'est-à-dire son nom de famille, prénom, nom patronymique, année, mois, date et lieu de naissance, adresse, famille, social, propriété position, éducation, profession, revenus, autres informations, en rapport avec lesquelles on peut conclure que le numéro de téléphone portable est également une donnée personnelle. En outre, l'art.

Le numéro de téléphone est-il une donnée personnelle?

Une amende de 100 000 à 300 000 roubles, une privation du droit d'occuper certains postes pendant une durée de trois à cinq ans, ou du travail forcé d'une durée maximale de cinq ans (avec privation du droit d'occuper certaines positions pendant une période maximale de six ans ou sans celle-ci) ou une arrestation pouvant aller jusqu'à six mois ou une peine d'emprisonnement pouvant aller jusqu'à cinq ans (privation du droit d'occuper certains postes jusqu'à six ans): refus illégal d'un fonctionnaire de fournir des documents et du matériel affectant directement les droits et libertés d'un citoyen, ou remboursement d’informations incomplètes ou délibérément fausses, si elles portaient atteinte aux droits et aux intérêts légitimes des citoyens.

Conditions requises pour le transfert de données personnelles à des tiers

Responsabilité pour violation de la loi sur les données personnelles

Loi fédérale sur les données à caractère personnel: un opérateur est un organe de l'État, une instance municipale, une personne physique ou morale, organisant et (ou) effectuant le traitement de données à caractère personnel, ainsi que définissant les objectifs et le contenu du traitement de données à caractère personnel. Dans le même temps, les opérateurs de ces organismes et personnes ne sont pas concernés par l'inscription dans le registre des opérateurs participant au traitement de données à caractère personnel gérées par Roskomnadzor. Question: Dans quels cas l'opérateur a-t-il le droit de traiter des données à caractère personnel sans en avertir l'organisme compétent pour la protection des droits des personnes concernées? Réponse: selon h.


1 cuillère à soupe 22 de la loi fédérale du 27 juillet 2006

Transfert de données personnelles à des tiers

Boris Voronin: «Seul le paresseux n’a pas essayé d’écrire une facture de percepteur.» En tant que directeur de l’Association nationale des agences de recouvrement professionnelles (NAPCA), Boris Voronin nous a expliqué comment vivre entre la loi sur la faillite des particuliers et la loi sur le recouvrement. En outre, la photocopie d’un document d’identité en tant que banque de données ne peut être considérée comme un traitement de données à caractère personnel. Cela a également été rapporté à plusieurs reprises Roskomnadzor. Comment interagir avec les banques et les opérateurs de téléphonie mobile en cas de changement de titulaire du numéro de carte SIM, de numéro de téléphone ou de paiement.
Des questions se posent quant à la manière d'interagir avec les banques et les opérateurs de téléphonie mobile en cas de remplacement du titulaire d'un numéro de carte SIM, de modification du numéro de téléphone ou de paiement en utilisant les communications mobiles.

Transfert de données personnelles à des tiers sans consentement

  • sur les fonctionnaires - de 4 mille à 10 mille roubles;
  • pour les entrepreneurs individuels - de 10 000 à 20 000 roubles;
  • pour les personnes morales - de 25 mille à 45 mille roubles.

Partie 5 de l'art. 13.11 du Code administratif de la Fédération de Russie Omission par l'opérateur de traiter des données à caractère personnel sans utiliser d'outils d'automatisation, l'obligation de se conformer aux conditions assurant leur sécurité et interdisant tout accès non autorisé à ces informations, si cela entraînait un accès illégal ou accidentel à des données, leur destruction, modification, blocage, copie, fourniture, ou d’autres actions illégales les concernant.

  • pour les citoyens - de 700 à 2 000 roubles;
  • sur les fonctionnaires - de 4 mille à 10 mille roubles;
  • pour les entrepreneurs individuels - de 10 000 à 20 000 roubles;
  • sur les personnes morales - de 25 000 à 50 000

    Accueil

  • Ressources juridiques
  • Sélection des matériaux
  • Transfert de données personnelles à des tiers

Sélection des documents les plus importants sur demande Transfert de données à caractère personnel à des tiers (réglementations, formulaires, articles, conseils d'experts, etc.). Réglementation: transfert de données à caractère personnel à des tiers Loi fédérale du 27.07.2006 N 152-FZ (modifiée le 31/12/2017) "Concernant les données à caractère personnel" 3. Sauf disposition contraire, l'opérateur a le droit de facturer le traitement de données à caractère personnel à une autre personne prévue par la loi fédérale, sur la base d’un contrat conclu avec cette personne, y compris un contrat avec un État ou une municipalité, ou par l’adoption d’un acte pertinent par un organisme étatique ou municipal (ci-après, la commande de l’exploitant).

  • Le transfert de données personnelles à des tiers sans le consentement du sujet de données personnelles est illégal
  • L'utilisation de numéros de téléphone, même en l'absence d'informations supplémentaires sur leurs propriétaires, nécessite également un consentement.
  1. Est-ce que l'adresse e-mail est une donnée personnelle?
  2. Responsabilité pour violation de la loi fédérale sur les données personnelles
  3. Est-il légal de collecter des données personnelles sur des sites de publicité ou des réseaux sociaux?
  4. Est-il légal de créer des bases de données personnelles accessibles au public?
  5. Qui a le droit de traiter des données personnelles

Commencer la newsletter Testez les messages gratuitement Ajouter un commentaire JComments © Il est interdit de copier les éléments du site sans l'autorisation écrite de Target Telecom LLC OGRN 5147746239427 Licence N ° 153002 Courriel: [email protected] Téléphone: +7 (495) 966 13 03 Adresse: Moscow, ul.

Transfert d'un numéro de téléphone à des tiers en violation de la loi sur les données personnelles

Partie 6 de l'art. 13.11 du Code administratif de la Fédération de Russie Omission par un exploitant, qui est un organisme étatique ou municipal, de dé-personnaliser les données personnelles ou non-respect des exigences ou des méthodes établies à cette fin Mise en garde ou imposition d'une amende administrative de 3 000 à 6 000 roubles. Partie 7 de l'art. 13.11 Code des infractions administratives de la Fédération de Russie Non-présentation ou transmission tardive à l’État ou à un autre organisme autorisé d’informations dont la communication est prévue par la loi ou fourniture de ces informations sous une forme incomplète ou déformée Amendes administratives:

  • pour les citoyens - de 100 à 300 roubles;
  • sur les fonctionnaires - de 300 à 500 roubles;
  • pour les personnes morales - de 3 000 à 5 000

Code administratif de la Fédération de Russie Traitement de données à caractère personnel sans le consentement écrit du sujet, le cas échéant, ou traitement de données contraire aux exigences de la composition des informations incluses dans ce consentement

  • sur les citoyens - de 3 000 à 5 000 roubles;
  • sur les fonctionnaires - de 10 mille à 20 mille roubles;
  • pour les personnes morales - de 15 000 à 75 000 roubles.

Partie 2 de l'art. 13.11 Code des infractions administratives de la Fédération de Russie Omission par l’opérateur de publier ou de donner un autre accès illimité à la politique de traitement des données à caractère personnel Avertissement ou sanction administrative:

  • pour les citoyens - de 700 à 1 000 roubles;
  • sur les fonctionnaires - de 3 000 à 6 000 roubles;
  • pour les entrepreneurs individuels - de 5 000 à 10 000 roubles;
  • pour les personnes morales - de 15 000 à 30 000 roubles.

Antonina Priezheva a indiqué de quoi les citoyens se plaignent lorsqu'ils écrivent des plaintes concernant des banques. Transférer des données personnelles à des tiers sans leur consentement. Les banques demandent un excédent de données personnelles, un refus de supprimer des données personnelles au terme du contrat, un traitement illicite des données.

Les citoyens sont mécontents du fait que leurs données sont transmises à des organisations extérieures. Le plus souvent, les citoyens sont mécontents du fait que leurs données sont transférées à des organisations extérieures lors du recouvrement de dettes. Par conséquent, ces plaintes concernent le plus souvent le travail des banques avec les agences de recouvrement.
La législation russe autorise les banques à traiter les données personnelles des clients et à les transférer à des tiers - selon un système de mandataire, ainsi que dans le cadre d'un contrat de cession.

Transfert de données personnelles à des tiers en 2018

Articles connexes

En 2018, l'employeur doit obtenir le consentement des employés pour transférer leurs données personnelles à un tiers. Le transfert de données peut avoir de nombreuses raisons, par exemple la conclusion de contrats d’assurance maladie volontaire ou la réception de cartes de salaire. Lisez à propos de la procédure, téléchargez le document exemple fini.

Quand devez-vous transférer les données personnelles de vos employés à des tiers?

La législation dans le domaine des données personnelles impose chaque année des exigences plus strictes pour leur protection. Il est évident que les opérateurs les collectent non seulement pour stocker et protéger; le traitement implique leur transfert.

Téléchargez les documents de l'article

L'article 88 de la LC RF stipule que dans des cas généraux, le transfert de données à caractère personnel à des tiers n'est pas possible. Sauf deux options:

1. Le greffier a consenti par écrit au transfert, alors qu'il était précédemment informé de l'identité de qui et pourquoi de ses renseignements personnels étaient nécessaires.

2. Les données confidentielles sont transmises sans le consentement de leur sujet dans des cas particuliers:

  • à des organismes d'État;
  • avec la menace pour la vie et la santé humaines;
  • dans les cas spécifiés par la loi fédérale.

Nous élaborons une politique de traitement du personnel en fonction des nouvelles exigences de Roskomnadzor

Si tout est clair avec le premier paragraphe, le second nécessite des explications.

En ce qui concerne les agences gouvernementales, l’employeur ne peut pas transmettre d’informations sur les employés. C'est:

  • Caisse de sécurité sociale;
  • Fonds de pension;
  • Autorités fiscales;
  • Inspection du travail;
  • Autorités exécutives enquêtant sur des accidents survenus dans l'entreprise.

Il est évident que le refus de l’employé de négocier l’employeur en coopération avec ces institutions est impossible.

Les établissements de crédit, les banques et les compagnies d'assurance ne sont pas inclus dans cette liste. Les informations ne leur sont fournies qu'avec le consentement écrit de l'employé.

► En ce qui concerne le transfert de la MP avec une menace pour la vie et la santé, il s'agit de donner la priorité à la sécurité de la vie humaine. Par exemple, en cas de détérioration soudaine de la santé, de propagation d'infections et d'empoisonnements répétés, l'employeur devra transmettre sur demande à l'établissement de santé les informations dont il dispose sur la santé de l'employé.

De plus, dans certains secteurs, les employés ont besoin d’un examen médical préalable (carnet médical), dont les résultats sont présentés par les autorités de réglementation lors des inspections.

► En ce qui concerne les cas déterminés par le droit fédéral, par exemple, la partie 5 de l'art. 20 de la loi fédérale n ° 79-З du 27 juillet 2004, qui oblige les médias à publier des informations sur les revenus et les biens des fonctionnaires lors de leurs recours.

Il existe plusieurs autres situations dans lesquelles l'employeur a des doutes: peut-on transmettre une PD ou non?

► Transfert entre divisions structurelles (de l'agent du personnel au comptable ou au service de sécurité). Cette procédure est nécessaire et possible, mais elle doit être stipulée dans le Règlement sur la protection des PDN, avec lequel le travailleur est familier. L'échange de données a lieu entre les personnes incluses dans la commande des employés ayant accès aux données personnelles.

► Transfert aux proches de l'employé. Malgré des liens étroits, ils sont des tiers dans cette situation et ne peuvent être obtenus sans le consentement de l’employé.

► Le transfert d'informations au syndicat - avec le consentement écrit de l'employé.

Comment organiser le travail avec des données personnelles de manière à ce qu'elles soient pratiques et sûres pour l'entreprise

Comment se passe le transfert des données

Lors de la conclusion d'un contrat de travail, il est impossible d'obtenir le consentement écrit du salarié pour communiquer ses données personnelles à des tiers dans toutes les situations nécessaires avant le licenciement.

L'algorithme de transfert des données personnelles à des tiers en 2018 est le suivant:

Étape 1. À partir de l’instance, la demande écrite est arrivée à l’employeur. Son critère principal est la motivation. Le document doit inclure une indication de l’objet de la demande, un lien vers la base juridique de la demande, une liste des informations demandées.

Étape 2. Après avoir analysé le document reçu, l’employeur peut immédiatement refuser d’émettre PD, s’il a des doutes, en faisant valoir que les informations demandées sont attribuées par la loi aux informations dont l’accès est limité.

Ouvrage de référence de l'officier du personnel en cadeau!

Etape 3. Si la demande est légitime, le responsable informe l’employé de la nécessité d’accepter le nom de l’institution qui a demandé les données et le but de son utilisation.

Étape 4. L'employé écrit son consentement ou son refus de transférer des informations.

Étape 5. Si le consentement est obtenu, l'employeur envoie au demandeur les informations nécessaires lui rappelant sa responsabilité et lui demandant de fournir un rapport sur l'utilisation des données conformément aux objectifs énoncés.

Étape 6. L'autorité qui a demandé les informations, après avoir terminé les manipulations, envoie au responsable de l'employé la confirmation qu'il l'a utilisée en stricte conformité avec les objectifs spécifiés dans la demande initiale.

Tous les papiers mentionnés sont fabriqués dans la forme libre, car il n'y a pas de formes unifiées.

Nouvelles opportunités de carrière

Comment consentir au transfert de données à caractère personnel à des tiers

Le document est simple à rédiger, il peut être publié sous forme imprimée ou manuscrite. Écrit au nom du chef de l'employé (nom, passeport, titre de séjour). L'essence du document est divulguée dans la première phrase: une personne consent à ce que son employeur communique des données à caractère personnel à un tiers (nom de l'institution) dans un but spécifique. Vous trouverez ci-dessous une liste des informations transmises.

Lors de la rédaction du document, il conviendra d'indiquer la durée de validité de cet accord. Le contrat prend fin avec la signature de l'employé et la date d'établissement.

Responsabilité pour violations

Le transfert incohérent de données à caractère personnel à des tiers en 2018 est considéré comme une divulgation et implique la responsabilité de:

1. Disciplinaire (remarque, réprimande, licenciement).

2. administrative (art. 13 du code administratif) sous forme d'amende:

  • 1-3 mille roubles pour les citoyens;
  • 5-10 mille roubles pour les officiels;
  • 20-50 mille roubles. pour les organisations.

3. Pénal (article 137 du code pénal), s'il est prouvé que le transfert était intentionnel, sous la forme de:

  • 200 mille roubles bien;
  • travail obligatoire 120-180 h.;
  • travail de direction jusqu'à 12 mois;
  • arrestation jusqu'à 4 mois.

4. Droit civil Selon la décision de la cour, le délinquant est tenu de verser une indemnité à la victime pour réparation du préjudice moral subi.

Comment faire un consentement pour le transfert de données personnelles à des tiers? Échantillon et autres nuances

La direction de l'organisation dans laquelle travaille l'employé possède des informations personnelles à son sujet.

Pour cette raison, il existe une procédure établie en vue de leur transfert, de leur protection, de leur traitement et de leur protection contre la communication à des tiers à l’insu de l’employé.

Ce dernier doit écrire son consentement par écrit. Découvrons en détail comment cela est fait et voyons également un exemple de document pour le transfert de données personnelles à un tiers.

Chers lecteurs! Nos articles traitent des moyens classiques de résoudre des problèmes juridiques, mais chaque cas est unique.

Si vous voulez savoir comment résoudre exactement votre problème - il suffit d'appeler, c'est rapide et gratuit!

Qu'est ce que c'est

Les données personnelles font référence à toute information relative à une personne qui est appropriée ou déterminée sur la base de cette information. Le transfert de données à caractère personnel est régi par l'article 88 de la LC RF.

Destinataires officiels d'informations personnelles

Les destinataires officiels d'informations personnelles d'un citoyen (à qui il est possible de transférer sans consentement) sont considérés comme les institutions suivantes:

  1. FSS de la Fédération de Russie (fonds d'assurance sociale): sur la base de la loi fédérale n ° 125 sur l'assurance sociale obligatoire contre les accidents du travail et les maladies professionnelles.
  2. Fonds de pension de Russie: régi par la loi fédérale n ° 27 sur la comptabilité personnalisée dans le système d'assurance pension obligatoire.
  3. Services fiscaux: conformément à la loi n ° 146, partie 1 du Code des impôts de la Fédération de Russie.
  4. Services de l'emploi: conformément à la loi fédérale n ° 1032-1 sur l'emploi en Russie.
  5. Organes du Ministère de l'intérieur: loi fédérale n ° 3 sur la police, loi fédérale n ° 40 sur les services de sécurité fédéraux, loi fédérale n ° 144 sur les activités de recherche opérationnelle.
  6. Commissariats militaires: régis par la loi fédérale n ° 53 «sur le service militaire et le service militaire», l'ordonnance du gouvernement de la Fédération de Russie n ° 719 «Règlement sur l'enregistrement militaire», décret du Président n ° 1132 sur l'approbation du règlement sur les commissariats militaires ».
  7. Autres services de contrôle de l’État et de contrôle du respect de la législation du travail.

Divulgation à un tiers

La loi fédérale sur la protection des droits des consommateurs inclut le traitement et le transfert ultérieur de vos données personnelles, si un employé y consent. Dans ce cas, un document écrit est conservé par l'employeur. En cas de litige, le document devient la preuve du consentement au transfert des informations personnelles de l’employé à une entité externe.

Chaque entreprise peut être confrontée à la nécessité d'envoyer périodiquement les données personnelles d'un employé d'une unité structurelle à une autre. Ces informations sont envoyées par le département des ressources humaines au service de comptabilité ou de sécurité. Dans ce cas, l’institution doit informer le salarié de l’obtention d’une signature confirmant son consentement.

Quelles organisations sont autorisées à recevoir les informations personnelles d'un employé avec son consentement? Par exemple, de telles institutions peuvent devenir une banque pour le traitement d'un compte sans numéraire, dans lequel l'employeur transférera le salaire et les autres revenus de l'employé. Ou des organismes de crédit où le citoyen a demandé un prêt ou des prêts.

But du papier

La disposition spécifie la procédure de traitement des données personnelles des employés.

Le contenu

L'article 9 de la loi sur les données à caractère personnel stipule qu'il contient les clauses suivantes:

  • F. I. O. avec l'adresse de l'employé.
  • Le numéro avec la date d'émission et le nom de l'autorité qui a émis le document certifiant l'identité de l'employé.
  • Le nom avec l'adresse légale de l'employeur, recevant le consentement écrit.
  • Le but correspondant d'envoyer des informations personnelles à un tiers.
  • Une liste spécifique d'informations confidentielles pour lesquelles l'employé est tenu de donner son consentement.
  • La période de validité de ce document.
  • Procédure de révocation du consentement d’un employé.

Instructions pas à pas pour créer un document avec des exemples

Pour le document sur le transfert des informations personnelles, nous vous recommandons d’utiliser les instructions ci-dessous. La législation ne prévoit pas d'exigences spécifiques pour la préparation du document, mais il doit être effectué par écrit.

Au début du document, indique le nom de l’institution occupant le poste de responsable, au nom duquel le document est écrit, l’index et l’adresse légale de la société. Par exemple:

450348, Moscou, perspective Leninski, 3/1

Ci-dessous, il est nécessaire d'indiquer de qui vient le contrat: FI I.O.O. l'employé est indiqué en détail dans le cas génitif. Par exemple, Andreev Vyacheslav Gennadyevich. Corps du texte

À ce stade, l'employé consent au transfert de ses informations personnelles.

Ici est indiqué employé F.I.O. O. avec les informations du document prouvant son identité et son lieu de résidence.

Andreev Vyacheslav Gennadyevich

passeport série 3564 № 121227

publié par le ministère de l'Intérieur "Gagarino" Moscou, perspective Leninsky, 58-23

Domicilié à l'adresse 454343, Moscou, perspective Leninski, 3/1 Texte du document où l'employé donne son consentement.

Je décide de la communication de mes données personnelles et accepte de les traiter librement, dans mon testament et dans mon intérêt, conformément à la loi fédérale n ° 152.

  • Une liste des informations personnelles qui sont ensuite autorisées à être traitées.
  • Organisations spécifiques autorisées à transférer des données personnelles.

    Banque "Moscou" pour l'enregistrement d'un compte sans numéraire sur lequel l'employeur transférera le salaire et les autres revenus de l'employé. Une liste d'actions avec des informations personnelles avec une description générale des méthodes de traitement qui seront appliquées.

    Par exemple: traitement mixte (collecte, systématisation, accumulation, stockage, raffinement, y compris le transfert), dépersonnalisation, blocage, destruction de données personnelles. La période pendant laquelle le document est valide.

    Par exemple, la période de consentement est de 5 ans.

  • Procédure de révocation du consentement d'un employé
  • Conclusion

    La liste des informations sur la personne, qui est transmise après sa permission

    1. F.I.O.
    2. Numéro avec lieu de naissance.
    3. Adresse de résidence avec un numéro de téléphone.
    4. État matrimonial.
    5. Position sociale
    6. Etat de la propriété.
    7. Éducation
    8. La profession
    9. Revenus et salaires.
    10. Autres informations

    Les autres informations incluent les données de passeport des employés, leur expérience professionnelle, le numéro de certificat de pension, des informations sur le service militaire et les archives militaires, etc.

    Conclusion

    Le consentement au traitement de données à caractère personnel est largement utilisé dans diverses institutions, allant des organisations municipales aux entreprises privées. Le document vous permet de transférer légalement les informations personnelles d'un employé à un tiers et sert de preuve en cas de litige.

    Mesures de protection des données personnelles

    Julia Bronskih, chef du département de la sécurité, «John Deere Rus»

    Qu'est-ce que des données personnelles?

    À l’étranger, il existe deux approches principales pour la définition des données à caractère personnel: dans certains États (Pays-Bas, Suède, Nouvelle-Zélande, etc.), elles sont identifiées par toute information pertinente pour une personne donnée, dans d’autres - il est possible de détailler certains critères de classification des informations. catégories (UK et autres). Au Royaume-Uni, il est interdit de collecter des données sur l'origine raciale, les opinions politiques, religieuses ou autres des employés, leur santé physique et mentale, leur vie sexuelle et leurs antécédents judiciaires. Aux États-Unis, de nombreux États ont adopté des lois interdisant aux entrepreneurs d’enquêter sur les travailleurs embauchés par le passé. Selon ces lois, avant d'entrer en contact avec l'ancien employeur, le nouvel employeur doit obtenir le consentement du candidat au poste.

    Conformément au Code du travail de la Fédération de Russie, les données à caractère personnel désignent les informations nécessaires aux employeurs dans le cadre de l’établissement de relations de travail et concernant un employé déterminé (article 85). Dans ce cas, le législateur n'établit pas de liste de ces informations.

    Cela signifie que la gamme d’informations et le type d’informations constituant les données personnelles de l’employé doivent être définis dans la loi de réglementation locale, mais dans les limites fixées par la loi fédérale.

    La loi fédérale n ° 152 sur les données à caractère personnel est un autre document où figurent les caractéristiques des données personnelles. Il indique que les données personnelles sont des informations relatives à une personne physique déterminées sur la base de ou déterminées sur cette base (le sujet de données personnelles). Il comprend le nom de famille, le prénom, le patronyme, la date, le mois, l'année et le lieu de naissance, ainsi que l'adresse, la famille, les conditions sociales, le statut de la propriété, la formation, la profession, le revenu et autres.

    Fourniture de données obligatoire et volontaire

    La fourniture de données peut être obligatoire et volontaire. Obligatoire est prévu par les lois fédérales (par exemple, la loi fédérale n ° 27-З du 1er avril 1996 sur la comptabilité individuelle (personnalisée) dans le système d'assurance pension obligatoire) afin de protéger les fondements de l'ordre constitutionnel, de la moralité, de la santé, des droits et des intérêts légitimes d'autrui, et d'assurer la défense sécurité du pays et de l'État (la liste figure au paragraphe 2 de l'article 9 de la loi fédérale sur les données à caractère personnel).

    Sans le consentement du sujet, le traitement de ses données personnelles peut être effectué pour exécuter le contrat, l'une des parties avec laquelle il est, ou s'il est nécessaire pour la distribution du courrier, etc. La liste complète de ces exceptions est donnée au paragraphe 2 de l'art. 6 FZ № 152

    La confidentialité n'est pas requise pour les données personnelles accessibles au public. Ainsi, le tribunal mondial de la capitale a refusé de conseiller le président de la Fédération de Russie, Sergey Dubik, dans des actions contre le portail «Civil Control», qui, selon ce responsable, aurait été rendu public à tort par ses données personnelles. Le tribunal a reconnu comme légitime la publication sur le site Web du Contrôle civil du nom et du poste du conseiller de Poutine, et le juge a décidé que l’utilisation d’informations sur les noms et les fonctions des fonctionnaires dans les publications ne constituait pas une violation de la loi.

    Votre entreprise est-elle un opérateur?

    Si une organisation, par exemple, transfère les données des employés à une banque pour émettre une carte «salaire», il s’agit alors d’un opérateur. Si l'entreprise a des clients - des particuliers, elle doit également être considérée comme un opérateur. Si une entreprise transfère des données à caractère personnel à d'autres organisations ou à des personnes, il s'agit de l'opérateur.

    L'article 22 de la loi fédérale sur les données à caractère personnel imposait aux opérateurs l'obligation d'informer l'organe habilité pour la protection des droits des personnes concernées de leur intention de mener à bien un tel processus préalablement au traitement de données à caractère personnel. Les notifications doivent être envoyées par écrit et signées par une personne autorisée, ou électroniquement et signées avec une signature numérique. Les opérateurs doivent être enregistrés dans le registre des opérateurs de données à caractère personnel sur le site Web de Roskomnadzor: http://www.rsoc.ru/p582/p585/ et en indiquer le but. traitement des données personnelles.

    Cela peut être, par exemple, les dossiers du personnel des employés sous contrat de travail; exécution d'un contrat de travail; sélection du personnel; soutien des employés étrangers; promotion des biens sur le marché; vente d'espaces publicitaires; retour des passeports perdus; comptabilité des appels au cabinet médical; organisation du contrôle d'accès; automatisation de l'échange de courrier.

    En ce qui concerne les motifs pour lesquels l’employeur a le droit de traiter des données à caractère personnel sans en avertir Roskomnadzor, ils sont énumérés à la partie 2 de l’art. 22 de la loi fédérale du 27.07.2006 n ° 152-З sur les données à caractère personnel. Cela peut notamment être fait si les données personnelles de l'employé sont utilisées conformément au droit du travail. Il est autorisé de traiter de telles données uniquement dans le but de garantir le respect des lois et autres textes réglementaires, d’aider les employés à l’emploi, à la formation et à la promotion, de créer les conditions propices à la sécurité personnelle du personnel et à la préservation des biens de l’organisation, au contrôle de qualité du travail effectué (Article 86 du Code du travail de la Fédération de Russie).

    Il n'est donc pas nécessaire d'envoyer des notifications concernant le traitement de données à caractère personnel à Roskomnadzor lorsque les données à caractère personnel des employés sont traitées conformément à la législation du travail. Dans le même temps, si un employeur envisage de verser un salaire à un employé par le biais d’une carte bancaire ou de lui établir un contrat d’assurance maladie volontaire dans le cadre d’un projet «salaire» conjoint avec une banque, de telles relations dépassent le cadre de la législation du travail. Dans une telle situation, il est nécessaire d'envoyer une notification normalisée à Roskomnadzor.

    Protection des données personnelles

    En vertu des dispositions de la loi fédérale du 27 juillet 2006 n ° 152-З sur les données à caractère personnel, toute personne morale est tenue de prendre des mesures pour protéger les données à caractère personnel et a le droit de déterminer la liste de ces mesures de manière indépendante.

    Les mesures de protection des données personnelles peuvent être divisées en deux grands sous-groupes: la protection interne et externe des données personnelles.

    Les mesures de protection interne des données à caractère personnel comprennent les actions suivantes:

    • limiter le nombre d'employés (avec la réglementation de leurs postes) ouverts à l'accès aux données personnelles. Qui peut inclure cette liste? Absolument toutes les personnes ayant accès aux affaires personnelles, à savoir le personnel du service du personnel ou les responsables de la gestion des dossiers du personnel -
    les employés, les commis aux livres, les secrétaires, les employés de bureau, les spécialistes qui passent des contrats avec des particuliers, ainsi que les ingénieurs, les programmeurs, les avocats;

    • la nomination d’une personne responsable qui veille à ce que l’organisation respecte la législation dans ce domaine;

    • approbation de la liste des documents contenant des données personnelles;

    • publication de documents internes sur la protection des données à caractère personnel, contrôlant leur conformité;

    • familiariser les employés avec les réglementations en vigueur dans le domaine de la protection des données à caractère personnel et les lois locales; procéder à des contrôles systématiques des connaissances pertinentes des employés traitant des données à caractère personnel et de leur conformité aux exigences des documents réglementaires en matière de protection des informations confidentielles. Il convient de garder à l'esprit que tous les employés ayant accès aux données personnelles d'autres personnes doivent être familiarisés avec les particularités de la législation en matière de protection des données personnelles;

    • placement rationnel des lieux de travail pour empêcher l'utilisation non autorisée d'informations protégées;

    • approbation de la liste des personnes autorisées à accéder aux locaux dans lesquels les données personnelles sont stockées;

    • approbation de la procédure de destruction des informations;

    • détection et élimination des violations des exigences de protection des données personnelles;

    • effectuer un travail de prévention auprès des employés pour les empêcher de divulguer des données personnelles.

    Parmi les mesures pour la protection externe des données à caractère personnel figurent les suivantes:

    • introduction du contrôle d’accès, de la procédure de réception et d’enregistrement des visiteurs;

    • la mise en place de moyens techniques de protection, la protection logicielle des informations sur supports électroniques, etc.

    Bien que la loi n'énonce pas d'exigences spécifiques concernant le nombre et le contenu d'actes locaux adoptés par l'organisation en matière de traitement et de protection des données à caractère personnel, la mise en œuvre de cet acte normatif constitue le minimum de documents à développer par l'entreprise:

    • un document commun déterminant la politique d'une entreprise en matière de traitement des données à caractère personnel, par exemple une disposition relative à des données à caractère personnel;

    • liste des personnes traitant des données personnelles;

    • une ordonnance nommant un employé responsable de l'organisation du traitement des données à caractère personnel. La personne désignée doit exercer un contrôle interne sur le respect par la société et ses employés de la législation sur les données à caractère personnel, y compris des exigences relatives à leur protection, communiquer au personnel les dispositions de la législation sur les données à caractère personnel, les lois locales régissant leur traitement, ainsi que les exigences relatives à la protection de ces données, organiser la réception et le traitement des demandes et demandes des personnes concernées par les données à caractère personnel et (ou) contrôler la réception et le traitement de ces demandes et demandes;

    • une disposition sur les mesures juridiques, organisationnelles et techniques destinées à protéger les données à caractère personnel contre leur accès illégal ou accidentel, leur destruction, leur altération, leur blocage, copie, fourniture, diffusion et autres actions illégales relatives à des données à caractère personnel. Dans cette disposition, il est recommandé de prescrire des mesures spécifiques pour la protection des données personnelles (introduction du contrôle d'accès, utilisation d'un logiciel de protection des informations - mots de passe, programmes antivirus, stockage des données personnelles séparément des autres informations, sur des supports matériels distincts et dans des locaux spécialement équipés avec un accès limité, etc. d)

    • une loi locale établissant des procédures visant à prévenir et détecter les violations de la loi dans le domaine de la protection des données à caractère personnel et à éliminer les conséquences de telles violations. Par exemple, une entreprise peut développer un plan d'action pour le contrôle interne de la sécurité des données personnelles, des instructions sur la manière de mener une enquête interne sur les violations de la loi dans le domaine de la protection des données personnelles, la tenue de journaux de contrôle antivirus et de contrôle du travail avec des données personnelles, un journal de formation, des instructions et la certification. questions de protection des données personnelles.

    Autres mesures organisationnelles et techniques visant à protéger les données à caractère personnel

    Des mesures organisationnelles et techniques visant à protéger les données à caractère personnel doivent également être prises en compte. Voici à quoi pourrait ressembler leur liste:

    • approbation des exigences relatives à la salle dans laquelle les données personnelles sont stockées.

    Il ne faut pas oublier qu'ils ne sont pas établis par la loi. Cependant, si nous partons des lois similaires existantes, prenons en compte les dispositions du Code du travail de la Fédération de Russie. Afin d'éviter tout accès non autorisé à des données personnelles sur papier, il est nécessaire d'équiper la pièce où elles sont stockées de casiers. La loi de réglementation locale devrait établir les exigences applicables aux locaux où sont stockées les données personnelles, émettre un ordre définissant les locaux où les données personnelles sont traitées et approuver la liste des personnes autorisées à s'y rendre;

    • assurer la protection logicielle du système d’information de l’organisation. Lors de l'utilisation de systèmes électroniques pour le traitement de données à caractère personnel, il est nécessaire de prendre en compte les exigences pour assurer la sécurité de telles données énoncées dans le règlement sur la sécurité des données à caractère personnel lors de leur traitement dans des systèmes d'informations de données à caractère personnel. Cela inclut la limitation de l'accès à certaines informations dans les systèmes d'information (par exemple, la définition de mots de passe, etc.). Il est également conseillé de limiter l’accès aux bases de données électroniques contenant les données personnelles des actionnaires par un système de mot de passe à deux niveaux: au niveau du réseau informatique local et au niveau de la base de données. Les mots de passe doivent être définis par l'administrateur de la base de données et l'administrateur du réseau, respectivement, et communiqués individuellement aux employés ayant accès aux données à caractère personnel. Ils doivent également être modifiés aussi souvent que possible (par exemple, tous les mois).

    • tenir un journal de travail avec des données personnelles. Afin de respecter le mode de travail confidentiel avec des données personnelles, il est conseillé de conserver un registre des données personnelles transmises à d'autres personnes, organisations et organismes gouvernementaux. Il devrait enregistrer les demandes entrantes, ainsi que les informations relatives à la personne qui a envoyé la demande, la date de transfert des données à caractère personnel ou le fait que le refus de les communiquer a été notifié, ainsi que noter les informations transmises.

    Transfert de données personnelles à des tiers

    De nombreuses raisons justifient le transfert de données à caractère personnel à des tiers: conclusion de contrats d’assurance maladie supplémentaire, obtention de cartes bancaires «payrices», etc. Si l’organisation est vaste - plusieurs milliers d’employés, l'obtention du consentement pour le traitement de données à caractère personnel peut prendre beaucoup de temps. Et les ouvriers eux-mêmes ne seront pas ravis de cela. La question se pose donc: est-il possible de résoudre ce problème à l’avance en incluant cette clause dans le contrat de travail?

    De ma propre expérience, je dirai que dans tous les cas, il est nécessaire de recueillir le consentement pour le transfert de données auprès de tout le monde. Bien entendu, la clause correspondante peut être incluse dans le contrat de travail, mais il sera toujours nécessaire de satisfaire à l'exigence d'obtention du consentement de l'employé. Et il sera plus facile d’émettre ce consentement séparément.

    Conclure une convention collective avec les employés et y répertorier tous les tiers auxquels les données personnelles seront transférées, en indiquant leur nom, leur adresse et le but de leur transfert, y compris une liste de leurs actions possibles avec des données personnelles et en précisant la période pendant laquelle ils les traiteront.. Tous les employés vont signer - et le dossier sera fermé.

    Quels sont les organismes de contrôle habilités à demander des données personnelles?

    Les tribunaux et autres organismes chargés de l'application de la loi peuvent recevoir librement des sociétés des données personnelles d'employés, de clients ou de contractants sans le consentement de ces derniers. Mais la réponse à la question de savoir si d’autres structures de contrôle ont des droits similaires et quels droits doivent être trouvés non seulement dans les lois, mais aussi dans la pratique judiciaire.

    Ainsi, dans sa décision du 25 juin 2009 dans l'affaire N ° A40-76345 / 08-122-112, la neuvième cour d'arbitrage a indiqué qu'un membre du service des huissiers de justice n'avait pas le droit de demander et de recevoir des informations contenant des données à caractère personnel de citoyens. En particulier, le tribunal nota que ni la loi fédérale du 21 juillet 1997 n ° 118-З «sur les huissiers de justice», ni la loi fédérale du 02.01.2007 n ° 229-ФЗ «sur les procédures d'exécution» ne conféraient pas aux huissiers de justice le droit de recevoir des données personnelles sans le consentement de leurs sujets, n'établissent pas les conditions d'obtention de telles données, ne définissent pas la gamme des sujets dont les données à caractère personnel font l'objet d'un traitement, ainsi que les pouvoirs de l'huissier de justice pour les traiter.

    Virements transfrontaliers

    Si votre entreprise transfère des données personnelles vers un autre pays, le problème de la protection des données personnelles lors de leurs mouvements transfrontaliers se pose.

    Qu'est-ce que le transfert de données transfrontalier? Il s'agit du transfert de données à caractère personnel par l'opérateur à travers la frontière d'un État de la Fédération de Russie vers une autorité, une personne physique ou morale d'un État étranger. En Fédération de Russie, l'un des critères permettant d'évaluer un État du point de vue de l'organisation d'un niveau de protection adéquat est le fait qu'il ratifie la Convention pour la protection des droits des individus dans le traitement automatisé de données à caractère personnel du 28 janvier 1981, STE n ° 108.

    Avant le début du transfert, l'opérateur doit s'assurer que les droits des personnes concernées par les données à caractère personnel sont suffisamment protégés sur le territoire d'un État étranger.

    Le point de blocage est le libellé «protection adéquate», car les critères d’adéquation ne sont définis nulle part, alors que le sens commun suggère que la protection conforme à la législation russe peut être considérée comme adéquate.

    L'adhésion d'un État étranger à la Convention pour la protection des personnes dans le traitement automatisé des données à caractère personnel (Strasbourg, 1981; avec amendements en 1999) permet de le classer parmi ceux qui garantissent une protection tout à fait adéquate. Mais, par exemple, les États-Unis n’ont pas ratifié cette convention. Il existe un tel programme américain - Safe Harbor de l'UE. Il réglemente uniquement les relations entre l'UE et les États-Unis. Nous n'entrons pas dans l'UE. Aux États-Unis, aucune loi ne régit les données à caractère personnel. Les lois des États ne mentionnent que ce que l'on appelle la vie privée (http://www.oecd.org/internet/interneteconomy/oecdgu idelinesen ce qui concerne la protection de la vie privée et des transformations de celles-ci).

    Pour prouver l'adéquation de la protection des données à caractère personnel lors du transfert de celles-ci vers une succursale étrangère d'une entreprise, il est nécessaire de mettre en œuvre un certain nombre d'activités, y compris l'élaboration d'un document (ou de plusieurs) reflétant les points clés suivants:

    • dispositions générales (structure organisationnelle de la société; pays (pays) auquel les données à caractère personnel sont transmises; objectif du transfert et
    traitement de données à caractère personnel à l'étranger);

    • justification légale du transfert transfrontalier de données à caractère personnel (liste de documents réglementaires sur la base desquels les données à caractère personnel sont transmises et traitées);

    • description de l'objet de la protection;

    • les caractéristiques des données à caractère personnel transmises (catégories de données à caractère personnel envoyées à l'étranger; catégories de personnes concernées; méthodes de traitement des données: automatisées, non automatisées, mixtes);

    • réglementations visant à garantir l'échange sécurisé d'informations avec des succursales étrangères (description des systèmes d'information sur les données à caractère personnel à partir desquels elles sont transmises, ainsi que des DOCUP où ils sont transférés, transfert des canaux de données, normes et protocoles de transfert de données, etc.). Description des mesures et des moyens permettant d'assurer la protection des données transmises (mesures organisationnelles; moyens techniques de protection des informations, y compris cryptographiques);

    • la composition de la législation d'un État étranger, reflétant les problèmes de protection des données personnelles;

    • dispositions finales (obligations d'une succursale étrangère de respecter la législation sur le traitement des données à caractère personnel du pays dans lequel elle se trouve; garantir une protection appropriée des données à caractère personnel reçues et traitées, certifiée par la signature des personnes responsables de l'organisation mère et d'une branche étrangère).

    Ces mesures permettront de réduire au minimum les risques de menaces pesant sur les données à caractère personnel lors de leur transmission transfrontalière et renforceront la responsabilité des fonctionnaires quant au respect des normes de sécurité de l'information établies.

    Combien de stocker?

    Le mode de confidentialité des données à caractère personnel est supprimé en cas de dépersonnalisation ou après une période de stockage de 75 ans, sauf indication contraire de la loi.

    Conformément à la loi fédérale n ° 152, les données personnelles doivent être détruites par l’opérateur une fois l’objectif de traitement traité. Et, par exemple, les documents primaires sur les registres du personnel et les salaires doivent être conservés pendant 75 ans. Mais ils doivent être conservés dans les archives et le FZ-152 ne s'applique pas aux archives conformément à la loi sur les archives. Ainsi, après avoir soumis les documents aux archives, l'organisation ne peut plus stocker ces informations en elle-même.

    En ce qui concerne les congés de maladie, cela s'applique au sujet. Par exemple, si l’employé a cessé de travailler, il n’a pas eu le temps de recommencer et est tombé malade, alors la liste des congés de maladie est calculée sur la base de son revenu du dernier lieu de travail. Conformément à la législation fiscale, une organisation doit conserver tous les documents financiers des cinq dernières années pour un contrôle fiscal. De plus, la période de conservation est calculée à partir du début du nouvel exercice ou de la date à laquelle le cas a été transféré aux archives, ce qui se produit généralement également à la fin de l'année. À propos, il est possible de stocker des documents dans l’organisation jusqu’à cinq ans sans les transférer aux archives.

    Décret n ° 1119 du gouvernement de la Fédération de Russie du 1er novembre 2012 sur l'approbation des exigences relatives à la protection des données à caractère personnel lorsqu'elles sont traitées dans des systèmes d'information de données à caractère personnel

    Ainsi, la résolution du gouvernement de la Fédération de Russie de 2007 n ° 781 est devenue invalide. Le nouveau décret n ° 1119 fusionne deux projets, l'un définissant les niveaux de sécurité des informations contenant des données à caractère personnel et l'autre, les exigences relatives à leur sécurité. Pour plus d'informations sur le texte du document, visitez le site www.government.ru. En fait, peu de choses ont changé. Même évaluation de la conformité, même journal électronique incompréhensible, mêmes exigences pour approuver la liste des personnes autorisées, établir un régime de sécurité dans les locaux, même référence aux documents réglementaires du FSTEC et du FSB. Le décret détermine que l'opérateur doit sélectionner l'ensemble des équipements de protection indépendamment, sur la base des réglementations précédemment adoptées par le FSB et le FSTEC.

    Selon le document, les menaces actuelles à la sécurité des données personnelles sont les conditions et les facteurs qui créent un danger potentiel d'accès non autorisé aux bases de données lors de leur traitement, ce qui permet de détruire, de modifier, de bloquer ou de transmettre des données à des tiers qui n'y ont pas accès.. En outre, la résolution définit trois types de menaces pour les systèmes d’information contenant des bases de données d’utilisateurs, ainsi que quatre niveaux de sécurité des systèmes d’information.

    Le paragraphe 13 de la Résolution n ° 1119 exige que, dans les locaux où les données à caractère personnel sont traitées, un mode de sécurité soit fourni conformément au 4ème niveau (minimum) de sécurité. Lorsque ce document est rempli, il devient presque impossible d'utiliser des appareils mobiles pour traiter des données à caractère personnel en dehors des locaux où la sécurité est assurée. Par conséquent, l'utilisation d'agents de la police de la circulation, d'agents des douanes ou de tablettes de médecins et de téléphones intelligents en dehors de leurs bureaux est également illégale.

    Il n’existe désormais aucune classification détaillée des menaces. Nous procédons donc à leur évaluation de manière indépendante et fixons le niveau de sécurité approprié pour les neutraliser. Pour garantir le niveau de sécurité requis, il est nécessaire de mettre en œuvre un certain nombre de mesures organisationnelles et techniques pour la sélection des outils de protection des informations, et ceci en se concentrant sur les documents du FSB et du FSTEC.

    Existe-t-il des restrictions quant à l'utilisation d'équipements de protection pour différents niveaux de sécurité? Cette question n'est pas divulguée ni dans la loi fédérale 152 ni dans le décret gouvernemental n ° 1119.