إرشادات لاستكمال إشعار مشغل بيانات شخصي

في أحد مقالاتنا السابقة ، التي كرست للتحضير لتفتيش Roskomnadzor للوفاء بمتطلبات قانون "البيانات الشخصية" ، تحدثنا عن أهمية ملء إشعار بشكل صحيح ، حول الحالات التي يجب فيها ملء الإخطار وهناك وعدنا بإخباركم المزيد حول كيفية ملء كل حقل إعلام.

يبدو أنه من خلال أسماء العديد من المجالات ، يجب أن يكون من الواضح بشكل حدسي ما تكتبه بالضبط. لكن الممارسة توضح أن العديد من مشغلي البيانات الشخصية لديهم الكثير من الأسئلة ، والبعض يقع في ذهول حقيقي عند محاولة ملء جميع الحقول.

قررنا هنا كتابة تعليمات مفصلة هنا حتى لا نروي نفس الشيء لعملائنا عدة مرات ، وكذلك لجعله متاحًا للجميع دائمًا.

يتم تعبئة إعلام مشغل البيانات الشخصي على بوابة البيانات الشخصية الخاصة بـ Roskomnadzor. الآن دعونا نلقي نظرة على كل الحقول.



لا ينبغي أن يكون هناك أي مشاكل مع المراكز الأولى. نختار الإدارة الإقليمية ل Roskomnadzor ، والتي ينبغي إرسال إشعار إليها. ثم حدد نوع المشغل. نقدم الاسم الكامل والمختصر للمشغل وفقًا للوثائق التأسيسية. نشير إلى العنوان الفعلي والقانوني للمنظمة. اختر المنطقة (أو المناطق) التي تعمل فيها المؤسسة. نحن نملأ تفاصيل المنظمة (فقط TIN و PSRN إلزمان ، والباقي يمكن تركه فارغًا). إذا كانت المنظمة لها فروع ، فإننا نضيف معلومات عنها.

يبدو أن كل شيء بسيط وواضح هنا ، ولكن مع الحقول التالية ، قد تكون هناك أسئلة بالفعل.



في العمود "الأساس القانوني لمعالجة البيانات الشخصية" ، يمكنك تحديد جميع المستندات التنظيمية والداخلية التي قد تكون مرتبطة بطريقة أو بأخرى بمعالجة البيانات الشخصية. عادة ما يبدأون بـ 152- وقانون العمل في الاتحاد الروسي ، ويستمرون في التشريعات المتعلقة بمجال نشاط المنظمة (على سبيل المثال ، إذا كانت مؤسسة طبية ، فإننا نكتب هنا 323- "على أساسيات حماية صحة المواطنين في الاتحاد الروسي" وغيرها من القوانين التنظيمية ، مثل الفيدرالية وعلى النطاق الإقليمي المتعلقة بالرعاية الصحية) وتنتهي مع ميثاق المؤسسة.



يعد العمود "غرض معالجة البيانات الشخصية" أحد أكثر الأعمدة غدًا. عند ملء هذا الحقل ، يجب ألا ننسى أن الجزء 2 من المادة 5 من القانون الاتحادي "بشأن البيانات الشخصية" يخبرنا أن معالجة البيانات الشخصية يجب أن تقتصر على تحقيق أهداف محددة ومحددة مسبقًا وشرعية. لا يُسمح بمعالجة البيانات الشخصية غير المتوافقة مع أغراض جمع البيانات الشخصية.

نعطي مثالا واحدا على كيف لا تحتاج ل.

بعض أصحاب العمل ، الذين يدعون المرشحين لشغل منصب شاغر لإجراء مقابلة ، يطلبون ملء استبيان ، يطلبون فيه ، من بين أشياء أخرى ، تفاصيل جواز سفرهم. ومع ذلك ، من وجهة نظر 152-FZ هذا غير قانوني. نظرًا لأن الغرض من معالجة البيانات الشخصية هو اختيار مرشح لشغل منصب شاغر ومحاولة التوصل إلى مبرر معقول لسبب الحاجة إلى بيانات جواز السفر. خبرة العمل؟ نعم. معلومات التعليم؟ نعم. العمر؟ وهنا هو بالفعل صفعات من التمييز ، لكننا لن نستغل عمل الأطفال. لكن بيانات جواز السفر لاختيار الموظفين ليست ضرورية.

لا ، نحن لسنا ساذجين للغاية ونفهم أن صاحب العمل في كثير من الأحيان يحتاج إلى تفاصيل جواز السفر للمرشح من أجل "اختراق" المرشح ، على سبيل المثال ، على القروض أو المشاركة في قصص أخرى غير سارة. لكن مرة أخرى - لا يمكن القيام بهذا من وجهة نظر القانون.

دعنا نعود إلى ملء حقل "غرض معالجة البيانات الشخصية". هنا يجب علينا صياغة هذه الأهداف بشكل صحيح وكاف. وكافية ماذا؟ يكفي لقائمة فئات البيانات الشخصية التي سنقوم بملئها. بعد كل شيء ، لا نريد أن يكون لدى ILV أسباب لإصدار وصفة طبية على أساس إخطارنا بالفعل قبل التحقق؟ هنا نرسم حلقة مفرغة - نكتب أننا نقوم بمعالجة بيانات جواز السفر لمقدمي الطلبات ، وسوف يعاقب على انتهاك التشريعات المتعلقة بالبيانات الشخصية ، ونقول أن "بيانات جواز السفر" قد تم إخطارها عن طريق الخطأ ، وسوف يكتبون في بروتوكول التحقق "معلومات غير كاملة / غير دقيقة في إشعار مشغل البيانات الشخصي ".

كما فهمت بالفعل ، يمكن أن يتغير العمود "غرض معالجة البيانات الشخصية" للمؤسسات المختلفة اختلافًا كبيرًا ، ولكن بالنسبة لمعظم المنظمات التجارية ، سيكون من الصحيح كتابة "توفير الموظفين والمحاسبة ، واختيار الموظفين لشغل الوظائف الشاغرة ، وتوفير الخدمات [قائمة الخدمات]".



القسم التالي هو أحد الأصعب وغير المفهوم. يريد Roskomnadzor منا أن نصف التدابير المتخذة ، المنصوص عليها في المادتين 18.1 و 19 من قانون البيانات الشخصية. ولكن في الواقع ، هذا القسم هو أحد أبسط الأمور ، فنحن نأخذ فقط أحكام المواد المشار إليها في القانون ونكتب أن كل هذا تم معنا. لقد فعلنا ذلك - أليس كذلك؟


تشير المعلومات المتعلقة بضمان أمان البيانات الشخصية إلى قائمة أدوات حماية المعلومات المستخدمة في ISPDn. لحسن الحظ ، لا يتم نشر هذه المعلومات في المجال العام لجميع القادمين ، على عكس الحقول الأخرى ، بحيث يمكنك تحديد جميع SZI المستخدمة فعليًا.



عادةً ما يتزامن تاريخ بدء معالجة PD مع تاريخ تأسيس الشركة (التسجيل).
عادة ما تختار الفقرة التالية "إنهاء معالجة PD" وكما يشير الشرط "إنهاء المؤسسة".



في قسم "فئات البيانات الشخصية" ، تحقق أولاً من الفئات التي تتم معالجتها بواسطة مربعات الاختيار ، ثم في حقل "فئات أخرى من البيانات الشخصية غير المدرجة في هذه القائمة" ، تشير إلى أن هذه الأرقام ليست مدرجة في القائمة ، ومن الأفضل القيام بذلك بشكل منفصل لفئات مختلفة من الموضوعات ، على سبيل المثال: "فئات أخرى من أيام العمل للعمال: [قائمة أيام العمل للعمال]. فئات أخرى من بيانات العملاء: [قائمة بيانات العميل] ".

في قسم "فئات الكيانات التي تتم معالجة بياناتها الشخصية" ، نشير إلى قائمة فئات الأشخاص الذين قمنا بتخزين أو معالجة بياناتهم ، على سبيل المثال: "الموظفون ، الباحثون عن عمل في الوظائف الشاغرة ، والمقاولون ، والعملاء". يرجى ملاحظة أنه يتم إضافة تفسير في اسم الحقل الذي يشير في هذه الحالة إلى أنه ينبغي الإشارة إلى المعلومات.

في حقل "قائمة الإجراءات مع البيانات الشخصية" ، من الأسهل اقتباس تعريف معالجة PD من 152-FZ: "التجميع ، التسجيل ، التنظيم ، التراكم ، التخزين ، التوضيح (التحديث ، التغيير) ، الاستخراج ، الاستخدام ، النقل (التوزيع ، التوفير ، الوصول) ، نزع الشخصية ، الحجب ، الإزالة ، التدمير ". بطبيعة الحال ، يجب إزالة الإجراءات غير المناسبة لمؤسستك (على سبيل المثال ، نزع الشخصية) من هذه القائمة. ولا تنسى القضية.

بعد ذلك ، نشير إلى طريقة معالجة البيانات الشخصية ، وعادة ما تكون "مختلطة ، مع الإرسال عبر الشبكة الداخلية لكيان قانوني ، مع النقل عبر الإنترنت".

ثم يريدون أن يعرفوا منا ما إذا كنا ننقل البيانات الشخصية إلى الخارج. إذا لم يكن كذلك ، فأعلن عدم النقل عبر الحدود. إذا كان الأمر كذلك ، فسوف يتعين عليك الإشارة إلى جميع البلدان التي يتم نقل البيانات إليها.

والأخير في هذه الكتلة هو استخدام التشفير. إذا لم يتم استخدامه ، فانتقل. إذا أجبنا بالإيجاب ، فسيُطلب منا كتابة أسماء هذه العلاجات وفئاتها. يمكن العثور على جميع هذه البيانات في وثائق مرفق التشفير. سنقول هنا فقط أن أموال التشفير من فئتي KV و KA تُستخدم عادةً لأسرار الدولة ، وأن أسرار الدولة 152-regul غير منظمة ، لذلك ، في أغلب الأحيان ، في ISPDs العادية ، عليك أن تختار من بين 3 خيارات لمرفق التشفير المستخدم - KC1 أو KC2 أو KC3. إذا تم استخدام مرافق مستشفى مختلفة من فئات مختلفة ، فإن النموذج يسمح لك بتحديد جميع المعلومات اللازمة.

ظهر القسم التالي من النموذج في 1 سبتمبر 2015. يجب على أي شخص يقوم بملء إشعار لفترة طويلة إجراء تغييرات عليه وإضافته بالبيانات الموجودة في مركز البيانات. نعم ، لا تتفاجأ ، فهناك قاعدة بيانات 1C-Accountancy المحلية التي تم نشرها على جهاز الكمبيوتر الخاص بالمحاسب الرئيسي ، كما فهمت في مركز بيانات Roskomnadzor ...



نختار الدولة التي يوجد بها "مركز البيانات" الخاص بنا ونشير إلى عنوانه. علاوة على ذلك ، من الضروري الإشارة إلى ما إذا كان "DPC" هو ملكنا أم لا ، وإذا لم يكن كذلك ، فقم بالإشارة إلى معلومات مالك الموقع. إذا كان لديك عدة ISPDs ، فيجب تحديد بيانات مركز البيانات لكل منها على حدة. حتى لو كنا نتحدث عن خادم واحد.

بعد ذلك ، قم بملء بيانات الشخص الذي تم تعيينه المسؤول عن تنظيم معالجة البيانات الشخصية في المؤسسة. ! هام سيكون اسم الشخص المسؤول ، ورقم هاتف الاتصال به والبريد الإلكتروني متاحًا للجميع في سجل مشغلي PD. ضع ذلك في الاعتبار ، وبالطبع ، من الأفضل تحذير الشخص المعين من هذا.

في النهاية نشير إلى بيانات الفنان. المقاول ، هذا هو الشخص الذي يملأ هذا الإشعار. قد لا يكون هذا الشخص مسؤولًا ، لكنه شخص مختلف تمامًا. ولكن ، كما نرى ، تعد هذه الحقول اختيارية أيضًا ، لذلك ، على ما يبدو ، إذا لم تحدد المقاول ، فسيصبح المسؤولون تلقائيًا.

ثم نقوم بوضع علامة "أوافق على كل شيء" وأدخل كلمة التحقق واضغط على الزر الكبير "أرسل إشعارًا إلكترونيًا وقم بإعداد النموذج للطباعة". ثم يجب طباعة النموذج وتوقيعه وختمه مع المنظمة (إن وجدت) وإرساله عن طريق البريد التماثلي إلى قسم Roskomnadzor الخاص به. بعد فترة ، سيتم إدخال بياناتك في السجل.