Thực đơn
trang chủKỹ thuật

Đánh giá mức độ hiểu biết về kỹ thuật số. Đánh giá trình độ hiểu biết về kỹ thuật số Thông báo tới Roskomnadzor

Mikhail Khokholkov, INTELLECT-S: “Điều tối thiểu mà chủ sở hữu trang web cần làm là đăng chính sách xử lý dữ liệu cá nhân trên trang web.”

Vào ngày 1 tháng 7 năm 2017, những thay đổi đối với Điều 13.11 của Bộ luật Vi phạm Hành chính (CAO RF), quy định trách nhiệm tuân thủ pháp luật về dữ liệu cá nhân, đã có hiệu lực.

Trước đây, một hành vi phạm tội đã được dự tính - vi phạm pháp luật về dữ liệu cá nhân. Bây giờ danh sách này được mở rộng thành 7 điểm. Quy mô của tiền phạt cũng ngày càng tăng. Các trường hợp vi phạm hành chính trong lĩnh vực dữ liệu cá nhân sẽ được các văn phòng lãnh thổ của Roskomnadzor xem xét.

Bản thân Luật “Về dữ liệu cá nhân” đã có hiệu lực được 10 năm mà không có thay đổi căn bản nào. Vì vậy, sự hoảng loạn mà một số phương tiện truyền thông đang tung ra là điều khó hiểu. Tuy nhiên, đối với chủ sở hữu của bất kỳ trang web nào thu thập dữ liệu người dùng, tôi đã nhấn mạnh những điểm quan trọng sau.

Chính sách xử lý dữ liệu cá nhân trên website

Khoản 3 Điều 13.11 của Bộ luật Vi phạm Hành chính của Liên bang Nga: nhà điều hành không thực hiện nghĩa vụ theo quy định của pháp luật Liên bang Nga trong lĩnh vực dữ liệu cá nhân để xuất bản hoặc cung cấp quyền truy cập không hạn chế vào tài liệu xác định chính sách của nhà điều hành liên quan đến việc xử lý dữ liệu cá nhân hoặc thông tin về các yêu cầu đã thực hiện để bảo vệ dữ liệu cá nhân - dẫn đến cảnh báo hoặc phạt hành chính:

  • dành cho công dân với số tiền từ 700 đến 1.500 rúp;
  • dành cho quan chức - từ 3.000 đến 6.000 rúp;
  • dành cho doanh nhân cá nhân - từ 5.000 đến 10.000 rúp;
  • đối với pháp nhân - từ 15.000 đến 30.000 rúp.

Việc tối thiểu cần làm lúc này là đặt chính sách xử lý dữ liệu cá nhân trên trang web.

Nhà lập pháp không đặt ra bất kỳ yêu cầu đặc biệt nào đối với vị trí, nhưng tôi khuyên bạn nên cài đặt một liên kết đến chính sách trên trang chính và cũng sao chép nó ở những nơi đặt biểu mẫu thu thập dữ liệu cá nhân. Chính sách xử lý dữ liệu cá nhân phải có thể truy cập được đối với bất kỳ người dùng nào.

Danh sách kiểm tra để xây dựng chính sách xử lý dữ liệu cá nhân (PD) trên trang web

Những điều cần kiểm tra:

  • bất kỳ hình thức gửi tin nhắn nào như “đặt câu hỏi” và các trường bắt buộc phải điền. Chúng sẽ cần được chỉ định trong chính sách xử lý PD ở phần “Khối lượng PD”;
  • đăng ký người dùng/tài khoản cá nhân/ủy quyền qua mạng xã hội. Kiểm tra các trường bắt buộc. Nêu rõ chúng trong chính sách xử lý PD ở phần “Phạm vi PD”;
  • mẫu đơn đặt hàng gọi lại - những trường bắt buộc phải điền. Dữ liệu này sẽ cần được chỉ rõ trong chính sách xử lý PD ở các phần “Phạm vi của PD” và “Mục đích của PD”;
  • bản tin. Nếu có mẫu đăng ký nhận bản tin thì bạn phải đặt đồng ý xử lý PD và đồng ý nhận bản tin (mọi việc có thể thực hiện trong một tài liệu). Bản tin cũng phải được tham chiếu trong phần “Mục tiêu PD”;
  • phản hồi của khách tham quan/khách hàng/đối tác với PD (thư cám ơn,…). Nếu người dùng tự viết đánh giá thì phải đăng sự đồng ý cho việc xử lý PD. Nếu bản scan các bức thư cảm ơn được đăng tải, trước tiên bạn phải thảo luận với đối tác của mình về khả năng đạt được sự đồng ý đó;
  • khả năng gửi sơ yếu lý lịch. Trong trường hợp này, cần có sự đồng ý cho phép xử lý dữ liệu cá nhân cho mục đích việc làm.

Cơ sở dữ liệu của trang web với dữ liệu cá nhân của người dùng phải được đặt tại Nga.

Nếu chính sách xử lý PD (tài liệu có thể được gọi là “chính sách quyền riêng tư” hoặc tương tự) đã có trên trang web, hãy kiểm tra danh sách kiểm tra nhằm mục đích thu thập PD và khối lượng PD. Không nên có bất kỳ thông tin không cần thiết ở đó. Nguyên tắc “tốt hơn hết chúng ta nên chỉ ra nhiều dữ liệu hơn, phòng khi nó hữu ích” là không thể chấp nhận được. Điều quan trọng cần nhớ là lượng dữ liệu được thu thập phải tương ứng với mục đích xử lý. Không có tiêu chí chung cho việc tuân thủ như vậy, vì vậy người ta phải được hướng dẫn bởi các nguyên tắc hợp lý và đầy đủ.

  • Để đặt vé máy bay, bạn cần có dữ liệu hộ chiếu, để giao bánh pizza - không;
  • Để giao đơn đặt hàng bằng chuyển phát nhanh của cửa hàng trực tuyến, bạn cần có địa chỉ giao hàng, nhưng để nhận hàng - thì không;
  • Để đặt vé xem phim, bạn không cần bất cứ thứ gì trừ khi thanh toán trực tuyến.

Nếu không có biểu mẫu phản hồi trên trang web, không có cách nào để yêu cầu gọi lại, v.v. - dữ liệu cá nhân không được xử lý, do đó, không cần đăng chính sách xử lý PD.

Mục đích và phạm vi thu thập dữ liệu cá nhân

Việc thu thập dữ liệu quá mức từ người dùng có thể cấu thành hành vi vi phạm theo quyền riêng của họ. Khoản 1 Điều 13.11 của Bộ luật vi phạm hành chính: xử lý dữ liệu cá nhân trong các trường hợp không được pháp luật Liên bang Nga quy định trong lĩnh vực dữ liệu cá nhân hoặc xử lý dữ liệu cá nhân không phù hợp với mục đích thu thập dữ liệu cá nhân, ngoại trừ đối với các trường hợp quy định tại phần 2 Điều này, nếu hành vi này không cấu thành tội phạm hình sự thì bị xử phạt cảnh cáo hoặc phạt tiền hành chính:

  • dành cho công dân với số tiền từ 1.000 đến 3.000 rúp;
  • dành cho quan chức - từ 5.000 đến 10.000 rúp;
  • đối với pháp nhân - từ 30.000 đến 50.000 rúp.

Như vậy đã thu thập dữ liệu cá nhân phải phù hợp với mục đích quá trình xử lý của chúng và không bị dư thừa.

Do đó, chính sách xử lý dữ liệu cá nhân phải nêu rõ mục đích và phạm vi xử lý.

Ví dụ

Trường hợp phổ biến nhất của việc thu thập dữ liệu trên một trang web là yêu cầu gọi lại.

Trong trường hợp này, chỉ cần yêu cầu người dùng cung cấp số điện thoại là đủ. Nếu khi gọi lại, bạn yêu cầu cho biết email, tên đầy đủ, địa chỉ, nơi làm việc, chức vụ thì dữ liệu đó được coi là không cần thiết và không tương ứng với mục đích xử lý và do đó, việc thu thập chúng là vi phạm .

Không thu thập dữ liệu hộ chiếu trừ khi thực sự cần thiết. Thông thường chúng không cần thiết. Để hoàn tất đơn hàng, chẳng hạn như trong cửa hàng trực tuyến, bạn chỉ cần cho biết số điện thoại và địa chỉ giao hàng của mình.

Sau khi quyết định mục đích và phạm vi xử lý cá nhân, hãy soạn thảo chính sách xử lý của bạn và đăng lên trang web.

Nhân tiện. Tôi đã gửi yêu cầu sau tới Roskomnadzor:

Có cần thiết phải đăng chính sách xử lý dữ liệu cá nhân lên website giao hàng nếu người dùng chỉ cung cấp số điện thoại để đặt hàng? Người điều hành trang web gọi cho người mua theo số được chỉ định, làm rõ chi tiết đơn hàng và địa chỉ giao hàng. Trong tương lai (sau khi giao đơn hàng), số điện thoại, họ và tên người mua, địa chỉ giao hàng sẽ không được lưu và chủ sở hữu trang web không xử lý.

Và đây là câu trả lời tôi nhận được:

Theo thông tin trong đơn kháng cáo, không thể đưa ra đánh giá pháp lý về giá trị của vấn đề nêu ra.

Về cơ bản, điều này có nghĩa là không phải mọi trường hợp thu thập dữ liệu cá nhân đều cần phải đăng chính sách xử lý dữ liệu này, điều này không phủ nhận nhu cầu nghiên cứu vấn đề này cho từng trang web riêng lẻ.

Đồng ý xử lý dữ liệu cá nhân

Khi nào cần có mẫu chấp thuận bằng văn bản để xử lý PD?

Văn bản viết là văn bản ở dạng in có chữ ký gốc (không scan, không fax) của chủ thể. Mẫu văn bản sẽ không được tôn trọng nếu nó được nhận qua email dưới dạng tài liệu được quét. Sự đồng ý dưới dạng tài liệu điện tử có thể được ký bằng chữ ký điện tử theo Luật Liên bang “Về chữ ký điện tử”. Các yêu cầu về nội dung của mẫu văn bản được thiết lập theo khoản 4 Điều 9 của Luật Liên bang “Về dữ liệu cá nhân”.

Chỉ cần có văn bản đồng ý cho phép xử lý dữ liệu cá nhân trong những trường hợp được pháp luật quy định rõ ràng. Tổng cộng có năm trường hợp như vậy và chúng được mô tả trong Điều 8, 10, 11, 12 và 16 của Luật Liên bang “Về dữ liệu cá nhân”:

  • Điều 8 liên quan đến các trường hợp tạo ra các nguồn thông tin có sẵn công khai (thư mục, sổ địa chỉ, v.v.). Bạn có thể đưa thông tin về các cá nhân vào các thư mục này, trước đó đã nhận được sự đồng ý bằng văn bản của họ đối với việc xử lý dữ liệu cá nhân.
  • Điều 10 - các loại dữ liệu cá nhân đặc biệt liên quan đến chủng tộc, quốc tịch, quan điểm chính trị, niềm tin tôn giáo hoặc triết học, sức khỏe, đời sống tình cảm.
  • Điều 11 nói về việc xử lý dữ liệu sinh trắc học cá nhân: hình ảnh và video, dấu vân tay, DNA. Ảnh và video được coi là xử lý dữ liệu cá nhân nếu chúng được sử dụng để nhận dạng một cá nhân. Việc quay phim từ camera giám sát thông thường trong văn phòng, siêu thị hoặc trên đường phố không cấu thành việc xử lý dữ liệu cá nhân.
  • Điều 12 liên quan đến việc chuyển dữ liệu cá nhân xuyên biên giới.
  • Điều 16 cấm việc áp dụng, chỉ dựa trên việc xử lý dữ liệu cá nhân tự động, các quyết định làm phát sinh hậu quả pháp lý liên quan đến chủ thể dữ liệu cá nhân hoặc ảnh hưởng đến quyền và lợi ích hợp pháp của anh ta - chỉ khi có sự đồng ý bằng văn bản của chủ thể dữ liệu cá nhân hoặc trong các trường hợp được luật pháp liên bang quy định.

Có những trường hợp dữ liệu cá nhân có thể được xử lý mà không có sự đồng ý của chủ thể - đó là các đoạn 2-11 phần 1 điều 6, phần 2 điều 10 của Luật Liên bang “Về dữ liệu cá nhân”.

Trong tất cả các trường hợp khác (tức là khi không yêu cầu phải có sự đồng ý bằng văn bản hoặc khi không cần có sự đồng ý), có thể lấy sự đồng ý dưới bất kỳ hình thức nào cho phép có bằng chứng về sự đồng ý đó. Nhà điều hành xử lý dữ liệu cá nhân phải xác nhận sự tồn tại của sự đồng ý đó.

Chúng tôi khuyên bạn nên cài đặt một siêu liên kết để đồng ý xử lý dữ liệu cá nhân bên cạnh các nút “gửi”, “tiếp theo”, “đăng ký nhận bản tin” và các nút tương tự, kèm theo dòng chữ: “Bằng cách nhấp vào nút GỬI, tôi xác nhận rằng tôi đã đọc chính sách xử lý dữ liệu cá nhân và tôi cho đồng ý xử lý dữ liệu cá nhân", trong đó văn bản in nghiêng là siêu liên kết đến các tài liệu liên quan.

Thông báo tới Roskomnadzor

Trong một số trường hợp nhất định, cần gửi thông báo cho Roskomnadzor tại nơi đăng ký (pháp nhân, doanh nhân hoặc công dân - quản trị viên trang web) để được đưa vào sổ đăng ký xử lý dữ liệu cá nhân. Nếu thông báo đó không được cung cấp thì có thể bị truy tố theo Điều 19.7 của Bộ luật Vi phạm Hành chính - cảnh cáo hoặc phạt hành chính.

  • dành cho công dân với số tiền từ 100 đến 300 rúp;
  • dành cho quan chức - từ 300 đến 500 rúp;
  • đối với pháp nhân - từ 3.000 đến 5.000 rúp.

Tại khoản 2 của Nghệ thuật. Điều 22 của Luật Liên bang “Về dữ liệu cá nhân” liệt kê các trường hợp không cần thông báo cho Roskomnadzor. Tổng cộng có chín trường hợp như vậy. Phổ biến nhất là dữ liệu cá nhân được lấy liên quan đến việc ký kết hợp đồng, nếu dữ liệu cá nhân không được phân phối hoặc cung cấp cho bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu cá nhân. Dữ liệu này chỉ được sử dụng để thực hiện hợp đồng đã chỉ định và ký kết thỏa thuận với chủ thể dữ liệu cá nhân.

Phần kết luận

Nếu trang web không có chính sách xử lý dữ liệu cá nhân thì chủ sở hữu trang web đó không tuân thủ các yêu cầu của Luật “Về dữ liệu cá nhân”.

Các yêu cầu bổ sung có thể được áp dụng đối với các cửa hàng trực tuyến, dịch vụ tuyển chọn nhân sự, dịch vụ đặt vé, dịch vụ chấp nhận thanh toán, ấn phẩm trực tuyến (phương tiện truyền thông), v.v. Tôi sẽ viết riêng về việc sử dụng dữ liệu cá nhân trên các phương tiện truyền thông.

Vì vậy, tôi yêu cầu bạn chuẩn bị cẩn thận các tài liệu, không sử dụng “các biểu mẫu tiêu chuẩn của chính sách xử lý dữ liệu cá nhân”, vì chúng không tồn tại. Để được trợ giúp, hãy liên hệ với các luật sư chuyên về ngành này.

Tái bút

Bạn có biết rằng các yêu cầu bổ sung đối với thông tin được đăng trên bất kỳ trang web nào cũng được quy định bởi Luật Liên bang “Về thông tin” không?

Khoản 2 Điều 10 Luật Liên bang ngày 27 tháng 7 năm 2006 số 149-FZ (được sửa đổi ngày 6 tháng 7 năm 2016) “Về thông tin, công nghệ thông tin và bảo vệ thông tin”:

Thông tin được phổ biến mà không sử dụng phương tiện truyền thông phải bao gồm thông tin đáng tin cậy về chủ sở hữu thông tin đó hoặc về người khác phổ biến thông tin đó, dưới hình thức và mức độ đủ để nhận dạng người đó.

Chủ sở hữu trang web trên Internet có nghĩa vụ đăng lên trang web mà mình sở hữu các thông tin về tên, địa điểm và địa chỉ, địa chỉ email gửi đơn đăng ký quy định tại Điều 15.7 của Luật Liên bang này (các biện pháp sơ thẩm để ngăn chặn hành vi vi phạm bản quyền) , và cũng có quyền cung cấp khả năng gửi đơn đăng ký này bằng cách điền vào biểu mẫu điện tử trên trang Internet.

Mikhail Khokholkov về dữ liệu cá nhân

Vào ngày 28 tháng 7, Mikhail Khokholkov, luật sư hàng đầu của INTELLECT-S, đã phát biểu trong trường quay của kênh truyền hình Malina.Am về những sửa đổi luật về dữ liệu cá nhân.

Hãy tưởng tượng tình huống này.

Khách hàng tiềm năng của bạn đã nghe nói về công ty của bạn, nhưng họ không biết địa chỉ trang web, bạn ở đâu hoặc cách liên hệ với bạn.

Anh ấy sẽ làm gì trong trường hợp này?

Câu trả lời rất đơn giản: anh ấy sẽ lên Google và bắt đầu tìm kiếm thông tin về bạn. Và nhiệm vụ của bạn là làm cho việc tìm kiếm khách hàng tiềm năng trở nên dễ dàng nhất có thể. Điều này có nghĩa là công ty của bạn, ngoài trang web của riêng mình, phải được đại diện trên tất cả các tài nguyên trực tuyến phổ biến.

Những cái nào?

Đây là những gì chúng ta sẽ nói về ngày hôm nay!

Sự chuẩn bị

Trước khi bắt đầu tích cực đăng ký trên các tài nguyên trực tuyến, bạn cần thu thập càng nhiều thông tin càng tốt về công ty của mình để điền đầy đủ hồ sơ của mình.

Hãy suy nghĩ về các cụm từ tìm kiếm mà khách hàng tiềm năng có thể sử dụng để tìm thấy bạn.

Ví dụ: khách hàng tiềm năng có thể tìm kiếm tiệm giặt khô nằm ở trung tâm Kiev bằng cách sử dụng truy vấn “ Trung tâm giặt khô Kiev" hoặc " Tôi có thể giặt bộ đồ ở đâu Kyiv».

Bạn cần đảm bảo xác định tất cả các truy vấn tìm kiếm phổ biến và thêm càng nhiều truy vấn càng tốt vào mô tả công ty của bạn. Để thực hiện việc này, hãy sử dụng dịch vụ Wordstat từ Yandex hoặc AdWords từ Google.

Ngoài ra, hãy quan tâm đến các bài đánh giá từ khách hàng thực, thu thập ảnh và video chất lượng cao có thể thể hiện tốt doanh nghiệp của bạn.

Tôi khuyên bạn nên tạo một tài liệu riêng để lưu trữ tất cả thông tin cần thiết về công ty của bạn. Điều này sẽ giúp việc đăng ký dễ dàng hơn nhiều - tất cả những gì bạn cần làm là sao chép và dán thông tin từ tài liệu vào hồ sơ trực tuyến của công ty bạn.

Sau khi hoàn tất việc chuẩn bị, chúng tôi chuyển sang nghiên cứu các tài nguyên trực tuyến phổ biến nhất mà công ty của bạn phải có mặt.

10 tài nguyên trực tuyến nơi công ty của bạn phải được đại diện

Bây giờ chúng ta sẽ chuyển sang xem xét các tài nguyên trực tuyến phổ biến nhất mà bạn chắc chắn cần phải đăng ký công ty của mình. Việc xếp hạng các trang web dựa trên xếp hạng của công ty nghiên cứu quốc tế Alexa (bạn có thể xem kết quả xếp hạng), công ty này phân tích mức độ phổ biến và tầm ảnh hưởng của các trang web trên toàn thế giới.

TRONG Facebook dành cho doanh nghiệp có nhiều cơ hội hơn ở cùng một nơi Liên hệ với. Bạn có thể tạo trang cộng đồng, trang cá nhân, trang cho công ty hoặc thương hiệu của công ty đó.

Khi bạn tạo một trang, đừng quên cập nhật nó thường xuyên. Nếu người dùng truy cập trang của bạn và thấy thông tin trên đó được cập nhật lần cuối cách đây 3 tháng, điều này sẽ có lý do để nghĩ rằng công ty của bạn không đủ phổ biến.

Số 6 – Prom.ua

Prom.ua là một tài nguyên trực tuyến nơi bạn có thể tạo hồ sơ hoàn chỉnh về công ty của mình, mô tả sản phẩm và dịch vụ của mình, đồng thời đăng danh mục sản phẩm cùng với bảng giá. Do đó, một khách hàng tiềm năng có thể ngay lập tức có được thông tin về cả sản phẩm và giá của nó.

Nguồn tài nguyên này phù hợp hơn với các công ty thương mại Ukraina.

Số 7 – Allbiz

Allbiz là một phiên bản quốc tế tương tự của Prom.ua tiếng Ukraina. Với Allbiz bạn có thể dễ dàng tìm được đối tác và người mua nước ngoài.

Khán giả hàng năm của Allbiz đạt hơn 220 triệu người, điều này cho phép nguồn tài nguyên này trở thành nguồn dẫn đầu trong không gian Internet. Ngày nay, danh mục trực tuyến Allbiz có hơn 20 triệu sản phẩm và dịch vụ từ hơn 1,3 triệu công ty từ 90 quốc gia.

Vì vậy hãy chắc chắn tham gia vào nguồn tài nguyên này.

#8 – Foursquare

Foursquare là một nguồn thông tin rất được giới trẻ ưa chuộng. Với sự trợ giúp của việc đăng ký, xếp hạng, đánh giá và ảnh, bạn có thể dễ dàng thu hút sự chú ý đến công ty của mình. Thêm một phần thưởng đăng ký nhỏ và bạn được đảm bảo có một lượng khách truy cập.

Về hành vi vi phạm pháp luật về dữ liệu cá nhân. Chúng sẽ có hiệu lực vào ngày 1 tháng 7 năm 2017 và sẽ ảnh hưởng đến tất cả những người thu thập, xử lý và lưu trữ bất kỳ dữ liệu cá nhân nào.

Mức phạt được chia theo loại vi phạm và tăng gấp 10 lần. Ví dụ: nếu bạn không đăng chính sách quyền riêng tư trên trang web, cá nhân doanh nhân có thể bị phạt 10 nghìn rúp và công ty - 30 nghìn. Và nếu bạn xử lý dữ liệu cá nhân mà không có sự đồng ý của khách hàng của cửa hàng trực tuyến hoặc người đăng ký khóa học thông tin, mức phạt đối với pháp nhân sẽ lên tới 75 nghìn rúp. Giám đốc công ty hoặc doanh nhân sẽ phải trả tới 20 nghìn. Nếu vi phạm nhiều lần thì sẽ bị phạt nhiều lần.

Bạn cần khẩn trương sắp xếp lại các trang web của mình theo thứ tự. Quá trình kiểm tra đang được tiến hành 💻

Hiện tại, chỉ có văn phòng công tố mới có thể ban hành biên bản vi phạm. Mức phạt không phụ thuộc vào loại vi phạm và mức phạt tối đa đối với cá nhân doanh nhân hoặc giám đốc là 1000 rúp và đối với pháp nhân - 10 nghìn rúp. Thủ tục mất nhiều thời gian, số tiền phạt ít nên ít khi kiểm tra và không phải ai cũng làm được.

Làm cách nào để biết liệu tôi có phải là người kiểm soát dữ liệu cá nhân hay không?

Dữ liệu cá nhân là bất kỳ dữ liệu nào về một người mà người đó có thể được nhận dạng. Luật không có danh sách những dữ liệu đó nên bạn phải tự suy đoán. Ví dụ: theo tên hoặc thông tin đăng nhập thì không thể hiểu anh ta là người như thế nào, nhưng theo tên và số điện thoại hoặc tên và email - bạn có thể.

Rất có thể, bạn là người điều hành dữ liệu cá nhân nếu bằng cách nào đó bạn nhận được thông tin sau từ bất kỳ người nào trong bất kỳ sự kết hợp nào:

  • họ
  • họ,
  • một số địa chỉ vật lý,
  • e-mail,
  • Điện thoại,
  • ngày hoặc nơi sinh,
  • ảnh chụp,
  • liên kết đến một trang web cá nhân hoặc mạng xã hội,
  • nghề nghiệp,
  • giáo dục,
  • mức thu nhập,
  • Tình trạng gia đình.

Điều này có nghĩa là tất cả chủ sở hữu của các trang web có tài khoản cá nhân, biểu mẫu phản hồi, đăng ký hoặc đăng ký, nơi bạn có thể mua thứ gì đó, đặt quảng cáo hoặc điền vào biểu mẫu, đều là những người khai thác dữ liệu cá nhân. Ngay cả khi trang web chỉ có nút gọi điện hoặc gửi tin nhắn thì đây cũng là quá trình xử lý dữ liệu cá nhân.

Và nếu tôi ghi lại số điện thoại của một người bạn hoặc email của một cô gái trên một trang web hẹn hò, tôi có cần tuân thủ luật này không?

Không, không cần. Luật không áp dụng cho dữ liệu phục vụ nhu cầu cá nhân và gia đình. Nhưng nếu bạn giao số điện thoại của một người bạn cho người sưu tập hoặc đăng một quảng cáo có địa chỉ email của một cô gái trên một diễn đàn theo chủ nghĩa sai lầm thì đây đã là vi phạm.

Làm thế nào để xử lý dữ liệu cá nhân một cách chính xác để không vi phạm pháp luật?

Tối thiểu bạn cần:

  • nhận được sự đồng ý bằng văn bản của mỗi khách truy cập, khách hàng hoặc người đăng ký để xử lý, lưu trữ và phân phối dữ liệu cá nhân;
  • công bố thông tin trong phạm vi công cộng về mọi thứ liên quan đến dữ liệu cá nhân của khách hàng và người truy cập;
  • Chỉ yêu cầu dữ liệu cần thiết cho một mục đích cụ thể. Ví dụ: bạn không thể yêu cầu địa chỉ nhà hoặc thông tin hộ chiếu của mình để đăng ký nhận bản tin email;
  • chỉ sử dụng dữ liệu cho các mục đích được chỉ định trong tài liệu và người đó đã được cảnh báo;
  • thông báo, theo yêu cầu của một người, dữ liệu nào bạn có về người đó, cách thức và lý do xử lý dữ liệu đó cũng như bạn chuyển dữ liệu đó cho ai;
  • xóa, theo yêu cầu, dữ liệu được sử dụng để gửi thông tin về giảm giá và khuyến mãi;
  • lưu trữ cơ sở dữ liệu ở nơi an toàn, bảo vệ chúng khỏi bị hack và rò rỉ;
  • đào tạo nhân viên làm việc với dữ liệu cá nhân;
  • đăng ký với Roskomnadzor.

Cái gì? Tôi có nên đăng ký ở nơi khác không?

Có, theo luật, người khai thác dữ liệu cá nhân phải thông báo cho Roskomnadzor. Hơn nữa, việc này phải được thực hiện trước khi quá trình xử lý dữ liệu bắt đầu hoặc càng sớm càng tốt. Roskomnadzor sẽ nhập thông tin về nhà điều hành vào sổ đăng ký chung và sẽ cấp thông tin đó theo yêu cầu.

Thông báo có thể không được gửi nếu:

  • Chỉ dữ liệu nhân viên được xử lý;
  • dữ liệu cá nhân chỉ được lấy để thực hiện một hợp đồng cụ thể với một người cụ thể và sẽ không được sử dụng dưới bất kỳ hình thức nào, ít được phổ biến hơn nhiều;
  • chính người đó đã công bố dữ liệu này trong phạm vi công cộng;
  • bạn chỉ có tên đầy đủ của khách hàng và không có gì khác.

Tôi có một trang web và tôi nhận được dữ liệu cá nhân. Tôi nên làm gì?

Nếu bạn chưa làm gì thì bạn đã vi phạm pháp luật và bây giờ bạn có thể bị phạt. Ngay cả khi trang web của bạn được duy trì bởi một studio web hoặc một chuyên gia CNTT từ xa, tiền phạt vẫn sẽ được áp dụng cho công ty hoặc cá nhân doanh nhân được liệt kê trên trang web.

Chuẩn bị các tài liệu công khai và đăng lên trang web để chúng có thể truy cập được trên tất cả các trang. Đây có thể là thỏa thuận người dùng, như Lamoda, quy tắc bán hàng, thông báo chính thức, như M-Video, chính sách quyền riêng tư, như Nhà hàng, Adidas hoặc Ozone. Bạn có thể chỉ định các điều kiện xử lý dữ liệu cá nhân trong hợp đồng hoặc ưu đãi thông thường, như Sberbank đã làm.

Không sử dụng tài liệu của người khác. Bạn có thể lấy chúng làm hướng dẫn nhưng bạn cần phải viết ra danh sách dữ liệu và mục đích sử dụng của riêng mình. Những gì ngân hàng cần để phát hành một khoản vay hoặc một cửa hàng trực tuyến để giao hàng sẽ không cần thiết cho một bản tin email hoặc bảng thông báo. Yêu cầu dữ liệu không cần thiết là vi phạm pháp luật và là lý do để bị phạt.

Triển khai giải pháp chứng minh rõ ràng rằng người đó đã đồng ý xử lý dữ liệu cá nhân. Đây có thể là dấu tích trên mẫu đăng ký hoặc cảnh báo khi đặt hàng. Để đảm bảo an toàn, hãy yêu cầu các trang web của bạn được chứng nhận bởi một công chứng viên.

Chuẩn bị các tài liệu nội bộ về việc lưu trữ dữ liệu cá nhân và trách nhiệm của nhân viên làm việc với dữ liệu đó. Các mệnh lệnh, quy định và mô tả công việc không cần phải được công bố công khai.

Nếu cần, hãy gửi thông báo tới Roskomnadzor. Nếu bạn chắc chắn rằng không cần phải gửi thông báo, hãy soạn thảo các tài liệu sao cho rõ ràng trong quá trình kiểm tra. Ví dụ: viết trong chính sách rằng bạn chỉ sử dụng dữ liệu cá nhân để thực hiện một hợp đồng cụ thể. Hoặc cho biết rằng bạn đang tạo một tài nguyên mà trên đó dữ liệu được cung cấp công khai theo yêu cầu của người dùng.

Có đúng là dữ liệu cá nhân chỉ có thể được lưu trữ trên máy chủ của Nga? Nếu tôi tổ chức ở Châu Âu, tôi có vi phạm pháp luật không?

Có rất nhiều điều không chắc chắn trong luật liên quan đến vấn đề này. Một mặt, cơ sở dữ liệu cần được thu thập, xử lý và lưu trữ trên các máy chủ của Nga. Nhưng có một bài viết riêng về truyền dữ liệu xuyên biên giới. Những giải thích về vấn đề này đã được đăng tải trên website của Bộ Viễn thông và Truyền thông đại chúng nhưng cũng chứa đựng nhiều mâu thuẫn.

Rút ra kết luận của riêng bạn về nơi lưu trữ dữ liệu. Nếu bạn không biết phải làm gì, hãy gửi yêu cầu tới Roskomnadzor hoặc Bộ Viễn thông và Truyền thông đại chúng. Bạn cũng có thể liên hệ với nhà cung cấp dịch vụ lưu trữ của mình: hầu hết các công ty như vậy đều có giải pháp làm sẵn.

Mọi người hãy bình tĩnh! Sẽ không ai bị phạt vì một số biểu mẫu trên trang web và các giấy tờ không cần thiết.

Tại vùng Tambov, văn phòng công tố đã phạt một công ty luật vì điền vào biểu mẫu phản hồi mà không có sự đồng ý của người dùng để xử lý dữ liệu cá nhân. Các tòa án đã ủng hộ nó.

Giám đốc công ty quản lý bị phạt vì chuyển dữ liệu của con nợ cho luật sư để lập hồ sơ yêu cầu bồi thường. Anh ta không nhận được sự đồng ý để xử lý dữ liệu cá nhân từ người dân. Tòa án Hiến pháp đã không giúp anh ta.

Ở Astrakhan, các công tố viên phạt chủ sở hữu trang web sử dụng biểu mẫu phản hồi theo thứ tự bảng chữ cái.

Ngoài các khoản phạt có lợi cho nhà nước nếu vi phạm các quy tắc xử lý dữ liệu cá nhân, họ có thể phải bồi thường thiệt hại về mặt tinh thần và thậm chí là phạt tù.

Có rất nhiều điều khó hiểu trong luật về dữ liệu cá nhân. Chúng tôi đã tìm ra và trả lời

Đặc biệt, nó đã mở rộng danh sách các căn cứ để đưa ra trách nhiệm hành chính đối với việc xử lý trái phép dữ liệu cá nhân (PD) và tăng tiền phạt.

Dữ liệu cá nhân: tiền phạt

Căn cứ Số tiền phạt
Cá nhân quan chức Thực thể pháp lý IP
Xử lý dữ liệu cá nhân trong các trường hợp không được pháp luật Liên bang Nga quy định; xử lý dữ liệu cá nhân không phù hợp với mục đích thu thập dữ liệu cá nhân cảnh cáo hoặc phạt tiền - từ 1000 đến 3000 rúp. cảnh cáo hoặc phạt tiền - từ 5000 đến
10.000 chà.		 cảnh cáo hoặc phạt tiền - từ 30.000 đến 50.000 rúp.
Xử lý dữ liệu cá nhân mà không có sự đồng ý bằng văn bản của chủ thể từ 3000 đến 5000 chà. từ 10.000 đến 20.000 chà. từ 15.000 đến 75.000 rúp.
Không thực hiện nghĩa vụ xuất bản hoặc cung cấp quyền truy cập vào tài liệu xác định chính sách xử lý dữ liệu cá nhân hoặc thông tin về bảo vệ dữ liệu cá nhân từ 700 đến 1500 chà. từ 3000 đến 6000 chà. từ 15.000 đến 30.000 chà. từ 5.000 đến 10.000 rúp.
Không cung cấp cho chủ thể dữ liệu cá nhân thông tin về quá trình xử lý của họ cảnh cáo hoặc phạt tiền - từ 1000 đến 2000 rúp. cảnh cáo hoặc phạt tiền - từ 4.000 đến 6.000 rúp. cảnh cáo hoặc phạt tiền - từ 20.000 đến 40.000 rúp. cảnh cáo hoặc phạt tiền - từ 10.000 đến 15.000 rúp.
Nhà điều hành không tuân thủ yêu cầu của chủ thể PD hoặc người đại diện của họ để làm rõ, chặn hoặc tiêu hủy (nếu PD không đầy đủ, lỗi thời, không chính xác, thu được bất hợp pháp hoặc không cần thiết cho mục đích xử lý đã nêu) cảnh cáo hoặc phạt tiền với số tiền từ 1000 đến 2000 rúp. cảnh cáo hoặc phạt tiền - từ 4000 đến
10.000 chà.		 cảnh cáo hoặc phạt tiền - từ 25.000 đến 45.000 rúp. cảnh cáo hoặc phạt tiền - từ 10.000 đến 20.000 rúp.
Nhà điều hành không đảm bảo an toàn cho dữ liệu cá nhân khi xử lý dữ liệu cá nhân mà không có phương tiện tự động hóa, dẫn đến việc truy cập trái phép hoặc vô tình vào dữ liệu cá nhân và khiến dữ liệu cá nhân bị phá hủy, sửa đổi, chặn, sao chép từ 700 đến 2000 chà. từ 4000 đến
10.000 chà.		 từ 25.000 đến 50.000 rúp. từ 10.000 đến 20.000 chà.
Việc nhà điều hành (cơ quan tiểu bang hoặc thành phố) không thực hiện nghĩa vụ ẩn danh dữ liệu cá nhân; không tuân thủ các yêu cầu về phi cá nhân hóa dữ liệu cá nhân cảnh cáo hoặc phạt hành chính - từ 3.000 đến 6.000 rúp.

Xin lưu ý: chính lý do này, chẳng hạn như xử lý dữ liệu cá nhân mà không nhận được sự đồng ý của chủ thể, đã đưa ra mức phạt lớn nhất cho tất cả các loại người vi phạm - lên tới 75.000 rúp.

Về vấn đề này, có nhiều câu hỏi được đặt ra, những câu hỏi thường gặp nhất:

  • Tôi có phải là người kiểm soát dữ liệu không?
  • Luật Dữ liệu Cá nhân có áp dụng cho tôi không?
  • Làm cách nào để thông báo cho Roskomnadzor về việc xử lý dữ liệu cá nhân?
  • Chủ sở hữu trang web nên làm gì để tránh bị phạt?

Hãy giải quyết tất cả các câu hỏi theo thứ tự.

Luật “Về dữ liệu cá nhân” đã được thông qua cách đây vài năm. Nếu trang web không có chính sách quyền riêng tư, bạn sẽ không nhận được sự đồng ý cho việc xử lý dữ liệu cá nhân, tiền phạt sẽ được đưa ra và chúng có thể được tích lũy.

- đây là bất kỳ thông tin nào liên quan trực tiếp hoặc gián tiếp đến một thực thể vật lý cụ thể. khuôn mặt.

Chính xác những gì trên trang web thuộc dữ liệu cá nhân:

  • Hình thức đăng ký khi người dùng nhập biệt danh và email của mình.
  • Trong biểu mẫu phản hồi, người dùng cũng cho biết tên (thường là hư cấu) và email. Trong thực tiễn tư pháp, có trường hợp dữ liệu cá nhân được phân loại là biểu mẫu phản hồi chỉ chứa tên và tin nhắn.
  • Nhận xét và tin nhắn trên trang web khi bạn cần cung cấp tên và email của mình.
  • Đăng ký trên trang web, dữ liệu trong tài khoản cá nhân của bạn (địa chỉ, thành phố cư trú, tên đầy đủ, thư, năm sinh).
  • Khi đặt hàng qua trang web, mua hàng tại cửa hàng trực tuyến mà không cần đăng ký, người dùng sẽ cung cấp tên, số điện thoại và đôi khi là email.
  • Biểu mẫu gọi lại trong đó bạn cần cung cấp tên và số điện thoại của mình.
  • Hoàn tiền, tức là hoàn tiền cho hàng đã mua. Người dùng cho biết tên đầy đủ và chi tiết ngân hàng của mình.
  • Bảng câu hỏi, bài kiểm tra và bảng câu hỏi dựa trên kết quả đào tạo, mua hàng được thực hiện - tên đầy đủ và email.
  • Ứng dụng cho các sự kiện offline: lễ kỷ niệm, tiệc tùng, đám cưới, v.v. Tại đây người dùng nhập thông tin liên lạc của mình.
  • Nhận xét trên trang web. Ảnh người dùng, email - thu thập dữ liệu cá nhân.
  • Thông tin cá nhân trong một bài viết về một người, chẳng hạn như trong một cuộc phỏng vấn khi được hỏi về chi tiết về cuộc sống cá nhân của người đó.
  • Đơn xin đăng quảng cáo - trên website quảng cáo, phương tiện truyền thông.

Trên tài nguyên Internet của mình, bạn cần xác định vị trí các điểm thu thập dữ liệu cá nhân của mình. Ngay cả khi bạn là thể chất. đối mặt và sở hữu trang web, bạn vẫn nhà điều hành dữ liệu cá nhân, có nghĩa là bạn tuân theo Luật Liên bang “Về dữ liệu cá nhân” và phải chịu trách nhiệm. Điểm cộng duy nhất là tiền phạt cho cá nhân. các cá nhân có quy mô nhỏ, không giống như các doanh nhân cá nhân và pháp nhân. người

Roskomnadzor giám sát việc tuân thủ các luật liên quan trên tất cả các trang web. Chủ sở hữu trang web gửi thông báo về việc xử lý dữ liệu cá nhân ở đó. Dựa trên các thông báo, một sổ đăng ký của các nhà khai thác được duy trì. Văn phòng cũng xem xét tất cả các khiếu nại của người dùng về việc sử dụng bất hợp pháp thông tin cá nhân của họ. Một số người dùng thậm chí còn nộp đơn kiện.

Làm thế nào để xử lý dữ liệu cá nhân?

Trên trang web:

Tốt hơn là biến sự đồng ý thành một tài liệu riêng biệt. Nếu bạn có một số vị trí trên trang web để nhập dữ liệu cá nhân (đăng ký, nhận xét, đánh giá, đăng ký), thì cần có một số tùy chọn đồng ý - cho từng trường hợp.

Sự đồng ý phải cho biết phạm vi cụ thể của dữ liệu cá nhân đang được xử lý, dưới hình thức và mục đích gì nó sẽ được xử lý. Các mục tiêu có thể khác nhau: quảng cáo được nhắm mục tiêu, danh sách gửi thư, phản hồi của khách hàng, nghiên cứu tiếp thị, hoàn tiền hàng hóa nếu đó là cửa hàng trực tuyến.

Văn bản đồng ý trên trang web

Tôi đồng ý cho Quản trị trang web _______ (phương pháp xử lý) dữ liệu cá nhân sau: _______ (tên và email), cho mục đích _______ (ví dụ: gửi thông tin về tin tức trang web, dịch vụ mới, ưu đãi đặc biệt, khác thông tin hữu ích từ Cục Quản lý Tài nguyên hoặc các đối tác của nó).

Sự đồng ý xử lý dữ liệu cá nhân không phải là vô hạn; nó có thể được rút lại bất cứ lúc nào.

Thông báo Roskomnadzor. Thông báo có thể được gửi qua email, thư đăng ký đơn giản và bạn sẽ được đưa vào sổ đăng ký hợp nhất với tư cách là nhà điều hành dữ liệu cá nhân.

Không cần gửi thông báo nếu bạn chỉ sử dụng tên đầy đủ của người dùng, nếu dữ liệu của người đó được công khai, nếu bạn đang hành động trong khuôn khổ thỏa thuận đã ký kết trước đó (trên trang web) và không phân phối thông tin cho bên thứ ba.

Dữ liệu cá nhân của công dân Nga chỉ có thể được lưu trữ trên lãnh thổ Liên bang Nga. Theo luật, bạn chỉ có thể sử dụng dịch vụ lưu trữ trong nước.

Bạn phải xóa hoặc thay đổi dữ liệu cá nhân theo yêu cầu của chủ sở hữu dữ liệu đó. Tốt hơn là nên làm điều này khi có yêu cầu đầu tiên, nếu không một người có thể khiếu nại với Roskomnadzor về trang web hoặc ra tòa. Hoặc sau khi hoàn thành hợp đồng với người dùng.

Chính sách bảo mật. Tốt hơn là biến nó thành một tài liệu riêng biệt và đặt liên kết ở chân trang của trang web để có thể truy cập nó từ tất cả các trang của tài nguyên.

Chính sách bảo mật

Các quy định chính của văn bản:

  • trong trường hợp nào người dùng cung cấp dữ liệu cá nhân của mình cho Ban quản trị trang web;
  • 2 loại thông tin được thu thập: thông tin do người dùng tự cung cấp và thông tin kỹ thuật (địa chỉ ip, trình duyệt, phần mềm, độ phân giải màn hình, giới tính, độ tuổi, vị trí, v.v.);
  • dữ liệu nào chúng tôi nhận được từ người dùng và ở vị trí nào trên trang web (biểu mẫu đăng ký, đăng ký, nhận xét);
  • chỉ dẫn dữ liệu cá nhân khi sử dụng bất kỳ dịch vụ nào trên trang web; khi điền vào biểu mẫu trên một trang cụ thể, khi viết đơn khiếu nại;
  • Thông tin thẻ khi thanh toán hàng hóa trên trang quản trị trang web không có sẵn và được xử lý bởi nhà tích hợp thanh toán (ví dụ: Interkassa);
  • quy định về đăng ký trên trang thông qua mạng xã hội;
  • nếu trang web sử dụng hệ thống nhận dạng người dùng thông qua Cookies, bạn cần thông báo về hệ thống đó;
  • đảm bảo tính bảo mật dữ liệu cá nhân của người dùng và không chuyển dữ liệu cho bên thứ ba mà không có sự đồng ý của người dùng; quy định những trường hợp chuyển giao dữ liệu cá nhân nếu có thể;
  • dữ liệu cá nhân được thu thập cho mục đích gì;
  • thời gian xử lý dữ liệu: từ khi người dùng đăng ký đến khi xóa tài khoản của mình khỏi trang web;
  • đi đâu nếu người dùng muốn xóa dữ liệu cá nhân của mình, cho biết email quản trị;
  • người dùng có thể thay đổi, bổ sung hoặc xóa một phần dữ liệu của mình - cách thực hiện việc này;
  • thông tin về bản tin cho người dùng, khả năng hủy đăng ký nhận bản tin.

Việc đăng ký người dùng trên trang web _______ có thể được thực hiện thông qua mạng xã hội ______. Phương thức đăng ký này do người dùng tự lựa chọn bằng cách thực hiện các hành động trên trang web tại thời điểm đăng ký.

Khi đăng ký qua mạng xã hội, trang web _____, để tự động điền dữ liệu tương tự về người dùng, cũng như tối ưu hóa hoạt động của bộ lọc trang web theo tiêu chí thích hợp, sẽ thu thập các thông tin sau về người dùng từ mạng xã hội mạng: tên đầy đủ, biệt danh, giới tính, nơi cư trú (thành phố, địa phương).

Tiền phạt

Mức phạt có hiệu lực từ ngày 01/01/2017 vì vi phạm pháp luật trong lĩnh vực dữ liệu cá nhân.

Như chúng ta có thể thấy từ bảng, tiền phạt dành cho cá nhân. cá nhân còn nhỏ nên nhiều quản trị viên web không bận tâm đến việc tuân thủ pháp luật về thu thập và lưu trữ dữ liệu cá nhân.

Thông báo tới Roskomnadzor

Thông báo được gửi trước khi quá trình xử lý dữ liệu cá nhân bắt đầu. Nó được gửi đồng thời qua Internet (email) và được gửi bằng thư bảo đảm kèm theo danh sách các tệp đính kèm và thông báo gửi đến cơ quan lãnh thổ của Roskomnadzor (địa chỉ trên trang web chính thức).

Thông báo được gửi một lần, nhưng nếu có bất kỳ thông tin nào thay đổi, người điều hành dữ liệu cá nhân phải gửi thư thông báo về những thay đổi đối với thông tin trong sổ đăng ký.

Sau khi điền vào trang web, bạn sẽ nhận được số thông báo và khóa bí mật. Nó sẽ cho bạn biết khi nào bạn sẽ được đưa vào sổ đăng ký của người khai thác dữ liệu cá nhân.

Nếu bạn đang có mối quan hệ hợp đồng với ai đó hoặc cung cấp dịch vụ trên trang web, bạn không cần phải thông báo cho Roskomnadzor.

  • Bạn đang gửi thông báo này ở đâu?
  • Loại toán tử:
    • thuộc vật chất người (ghi họ tên);
    • hợp pháp người (tên đầy đủ, tên viết tắt, chi nhánh).
  • Địa chỉ của nhà điều hành: địa chỉ hợp pháp và bưu điện của các pháp nhân, INN, OGRN hoặc OGRNIP dành cho cá nhân doanh nhân, liên kết đến mã OKVED.
  • Cơ sở pháp lý để xử lý dữ liệu cá nhân. Chúng tôi chỉ ra các luật trên cơ sở chúng tôi thu thập dữ liệu cá nhân.
  • Chúng tôi xử lý dữ liệu cá nhân vì mục đích gì?
  • Dữ liệu cá nhân của ai chúng tôi xử lý: nhân viên, khách hàng, người đăng ký, người dùng trang web.
  • Nếu bạn thu thập dữ liệu trực tuyến, bạn nên công bố chính sách bảo mật trên trang web của mình.
  • Bạn đang xử lý dữ liệu cá nhân nào và theo cách nào (có hoặc không chuyển giao cho bên thứ ba, có hoặc không chuyển giao qua Internet, có hoặc không chuyển giao trong một pháp nhân, cho dù là hệ thống tự động hay hệ thống thủ công).
  • Các điều khoản và điều kiện chấm dứt xử lý dữ liệu cá nhân.

Ngoài ra, một cách tiếp cận khác có thể được xem xét. Trang web của bạn cung cấp những gì? dịch vụ thông tin miễn phí. Điều này cần được nêu trong chính sách bảo mật. Trong trường hợp này, không cần phải lo lắng về việc lưu trữ dữ liệu cá nhân và thông báo cho Roskomnadzor.

Ví dụ: bạn cung cấp không gian trên trang web của bạn cho thuê: một người đã viết đánh giá - bạn đã xuất bản nó trên trang web, đăng một bức ảnh và cho biết tên đầy đủ của anh ấy kèm theo email - bạn đã xuất bản nó trên trang web, người dùng đã đăng ký nhận bản tin - nhận tài liệu (dịch vụ) miễn phí.

Xử lý dữ liệu cá nhân của pháp nhân. cá nhân và doanh nhân

Dữ liệu cá nhân của nhân viên:

  • có thể được xử lý cho các mục đích giới hạn nghiêm ngặt: hỗ trợ việc làm, thăng tiến nghề nghiệp, đảm bảo an toàn cá nhân, giám sát công việc được thực hiện, đảm bảo an toàn cho tài sản của công ty;
  • tất cả dữ liệu có thể được lấy trực tiếp từ chính nhân viên;
  • Nghiêm cấm xử lý dữ liệu về quốc gia liên kết, quan điểm tôn giáo và triết học, cuộc sống thân mật, tình trạng sức khỏe, tư cách thành viên trong các tổ chức;
  • Dữ liệu cá nhân không thể được chuyển giao nếu không có sự đồng ý bằng văn bản, trừ khi điều này là cần thiết để bảo vệ tính mạng và sức khỏe của người đó hoặc trong khuôn khổ pháp luật.

Giám đốc công ty phải phê duyệt quy định về dữ liệu cá nhân của nhân viên và cho tất cả nhân viên làm quen với chữ ký. Cần chuẩn bị danh sách những người có quyền truy cập vào thông tin này. Thông thường đây là giám đốc, kế toán, luật sư và quản lý nhân sự. Nhưng ở đây, điều quan trọng là phải phân biệt được dữ liệu cá nhân nào mà một nhân viên cụ thể có quyền truy cập và những gì anh ta cần trong công việc của mình. Dữ liệu này sau đó có thể được cung cấp cho chính nhân viên theo yêu cầu.

Công nhân có quyền lấy thông tin về người khác có quyền truy cập vào dữ liệu của mình, dữ liệu này được lưu trữ ở đâu và trong bao lâu cũng như cách xử lý dữ liệu đó.

Nhân viên được phép xử lý dữ liệu, phải ký cam kết không tiết lộ thông tin có chứa dữ liệu cá nhân. Nó có thể được lập thành một tài liệu riêng hoặc được lập thành một chương riêng trong hợp đồng lao động hoặc bản mô tả công việc.

Nhân viên có trách nhiệm:

  • Người chịu trách nhiệm xử lý dữ liệu cá nhân (được chỉ định theo lệnh) giám sát việc tuân thủ của tất cả nhân viên với quy trình xử lý dữ liệu cá nhân.
  • Người quản trị bảo mật hệ thống thông tin dữ liệu cá nhân (được bổ nhiệm theo lệnh) đảm bảo tính bảo mật của dữ liệu cá nhân trong tổ chức và duy trì nhật ký. Đây có thể là 1 hoặc nhiều người. Tốt hơn là viết những hướng dẫn này như một phần bổ sung cho hợp đồng lao động.
  • Nhân viên phải thực hiện các biện pháp để ngăn chặn việc truy cập vào dữ liệu cá nhân của những người không được ủy quyền và phải ghi lại mọi tình tiết vi phạm.

Công ty phải áp dụng quy định về xử lý dữ liệu cá nhân: dữ liệu nào được xử lý, vì mục đích gì, quy trình xử lý.

Tài liệu dành cho pháp nhân và cá nhân kinh doanh

Tất cả các mẫu tài liệu cần thiết để xử lý dữ liệu cá nhân cho các pháp nhân. những người bạn có thể tải xuống bên dưới.