E verileri departmana iletti. Çalışanların kişisel verileri hangi kuruluşlara aktarılabilir?

Personel memurunun işletmeden hangi ruh halinde ayrıldığı önemli değildir, kendisi hakkında kötü bir izlenim bırakmamak ve profesyonellik göstermemek için departmanı çalışır durumda halefine devretmelidir. Ancak uygulamada, İK departmanı işlerinin alınması ve devredilmesi her zaman olması gerektiği gibi resmileştirilmemekte ve bazen de bu prosedürü düzenleyen açık kurallar bulunmadığından hiç gerçekleştirilmemektedir. Yine de belirli bir prosedür geliştirildi ve yasaya aykırı değil, bu da personel değişiminde bunun pekala uygulanabileceği anlamına geliyor.

Personel belgelerinin alınması ve aktarılması

Ne yöneticiyle olan ilişki ne de işten çıkarılma yönündeki olumsuz saikler işe yansıtılmamalıdır. Bir personel memuru her şeyi bırakıp bu şekilde ayrılamaz. Ancak pratikte istifa eden kişinin dosyaları devretmediği, aynı zamanda kasıtlı olarak yok ettiği durumlar da vardı. Onun hakkında hangi fikrin kaldığını hayal edebiliyor musun? Burada herhangi bir olumlu öneriden söz edilemez.

Her şey olması gerektiği gibi düzenlenirse ve İK departmanı yeni bir çalışanla bile programa göre çalışacak, önceki personel memuru hakkında yalnızca olumlu izlenimler kalacak.

Bu arada, vakaları aktarma prosedürü o kadar karmaşık değil, algoritması aşağıdaki gibidir:

  • davaların devri için bir komisyon oluşturulur;
  • personel belgeleri kontrol edilir;
  • devir ve kabul belgesi düzenlenir.

Ve şimdi her şey yolunda ve ayrıntılı.

Bir komisyon oluşturuyoruz

Bir komisyon oluşturmanın ve genel olarak davaları aktarma prosedürünü başlatmanın temeli elbette bir emir olmalıdır. Sipariş şunları yansıtmalıdır:

  • Komisyon ne için?
  • bileşimi;
  • görevler.

Aynı zamanda istifa eden personel memurunun da komisyon üyesi olması zorunludur.

Belgeleri kontrol etmeye başlıyoruz

Talimatta belirtilen süre içerisinde komisyonun aşağıdakileri kontrol etmesi ve değerlendirmesi gerekir:

  • personel dosyalarının eksiksizliği ve bileşimi;
  • belgelerin kaydedilmesi prosedürü (kayıt günlükleri);
  • belgeleri depolamak ve arşive gönderilmek üzere hazırlamak için bir sistem;
  • yazılım.

Dosyaların OK isimlendirmesi komisyonun çalışmalarında çok yardımcı olacaktır: sonuçta, departmanda olması gereken tüm gerekli klasörler burada listelenmiştir. Liste OK Yönetmeliğinde de belirtilebilir. Departmanda bir isimlendirme yoksa, belgelerin ve durumlarının toplu olarak - "kabinden kabineye" kopyalanması gerekecektir.

Kuruluşun personel belgelerinin, yani aşağıdakilerin varlığının kontrol edilmesi zorunludur:

belgelerin kullanılabilirliğini kontrol etmek

  • şirketin kurucu belgelerinin ve tüzüklerinin kopyaları;
  • personel masası;
  • PVTR ve toplu sözleşmeler;
  • tatil programı;
  • LNA (Tamam, ücretlendirme, disiplin, ticari sırlar, kişisel verilerin korunmasına ilişkin hükümler);
  • vardiya programları;
  • iş tanımları;
  • iş sözleşmeleri;
  • sorumluluk anlaşmaları;
  • temel faaliyetlere ilişkin siparişler;
  • personel emirleri (işe alma, işten çıkarma, transferler, disiplin);
  • kişisel kartlar;
  • kişisel ilişkiler;
  • çalışma kitapları.

Bu liste kapalı değildir, çünkü şirketinizin bazı belgeleri eksik olabilir ve bazılarını sunabilir.

Doğrulamadan sonra, tüm belgeler kanuna girilmelidir.

Personel belgelerinin transferinin kabul belgesi

Bu, bir personel memurunun kariyerini sona erdiren ana belgedir.
Belge şu şekilde biçimlendirilmiştir:

  • şirketin adı, kanunun düzenlendiği yer ve tarih yazılır;
  • müdürün onay damgası yapıştırılır;
  • yazılıdır - belgeleri kimin kime aktardığı;
  • tablo doldurulur;
  • Tüm komisyon üyelerinin vizeleri yapıştırılmıştır.

Yaklaşık bir iş devri eylemi bulabilirsiniz.

Tabloya aşağıdaki sütunlar eklenebilir:

  • alt ürün numarası;
  • belgenin (veya vakanın) başlığı;
  • sayfa sayısı;
  • belgelerin süresi;
  • belgelerin veya dosyaların yokluğuna veya hasarına ilişkin veriler.

dikkat!

Önemli: son sütunda belgenin yürütülmediğini, örneğin bir çalışan veya yönetici tarafından imzalanmadığını belirtebilirsiniz.

Dikkat:Çalışma kitaplarının ihlalleri gözden kaçırmamak için ayrı bir yaklaşıma ihtiyacı var çünkü kullanım sırasında Kayıtların doğru yapılmasından çalışan personel memuru sorumludur. Bu nedenle kitapların ayrı bir belge olarak düzenlenmesi daha doğru olacaktır.

Çalışma kitaplarının transferinin kabulü kanunu

Bu belge mevcut tüm çalışma kayıtlarından verileri içermelidir:

  • Çalışanın tam adı;
  • kitabın serisi ve numarası (ve eki);
  • çalışma kaydının mevcudiyeti.

Kanuna bilgi ekleyebilirsiniz:

  • talep edilmeyen emek hakkında;
  • kitap formlarının ve eklerinin mevcudiyeti hakkında.

Bir eylem örneği.

Belgeleri teslim edecek kimse yoksa

Diyelim ki personel memuru olarak iş buldunuz ve işlerin kabulü ve devri değil
çerçeveli. Başkalarının hatalarının sorumluluğundan kendinizi nasıl kurtarabilirsiniz? Bunu yapmanız gerekir:

  • aynı şekilde davaları alacak bir komisyon oluşturmak amacıyla;
  • belgelerin kullanılabilirliğini kontrol edin;
  • Yukarıdaki eylemleri hazırlayın.

Ancak bu durumda belgeler istifa eden personel memuru tarafından değil, komisyonun başka bir üyesi, örneğin bir muhasebeci tarafından teslim edilecektir.

dikkat!

Önemli: Senetleri imzaladıktan sonra işlerin kabul edildiği andan itibaren sorumlu olduğunuza dair bir emir çıkarmanız zorunludur.

Bu durumda Devlet Vergi Müfettişliği aniden bir incelemeyle gelirse sorumluluktan kurtulursunuz.. Ancak yine de işlerin düzene konması gerekiyor.

Çözüm

Yukarıda açıklanan prosedür, şirketin tek İK yetkilisinin değil, İK departmanı çalışanlarından birinin istifa etmesi durumunda da uygulanabilir. O zaman tüm OK belgelerini değil, yalnızca aktarılanları dikkate almanız gerekir. Örneğin, bir zaman hakemi istifa ederse, yalnızca zaman çizelgelerini, bunların tamamlandığını ve yasalara uygunluğunu kontrol etmeniz gerekir.

Çalışanlar, ülkemizdeki hemen hemen tüm tüzel kişilerin kişisel veri işleticisi haline gelmesi sayesinde kişisel veri sahibidir. Bu nedenle ayrıcalıklı bir konumdalar: İş Kanunu'nda ayrı bir kişisel veri türünün - çalışanların kişisel verilerinin - işlenmesini düzenleyen bir bölüm var. Ek olarak, 1 Kasım 2012 tarih ve 1119 sayılı Rusya Federasyonu Hükümeti Kararnamesi, Rusya Federasyonu'nun kişisel verilerini (PD) işleyen yeni bir tür kişisel veri bilgi sistemi (bundan sonra ISPD olarak anılacaktır) - ISPD oluşturmuştur. operatörün çalışanları.

Yasa koyucunun bizi sürekli olarak çalışanların kişisel verilerinin işlenmesini korumaya ve yetkin bir şekilde düzenlemeye itmesine rağmen, çoğu işveren bundan özenle kaçınmaktadır. Herkesin kendine göre nedenleri vardır ama en önemlisi bilinmeyenden duyulan korkudur. Bu yazımızda çalışanların kişisel verilerinin işlenmesinde karşılaşılan başlıca ihlaller ve bunların ortadan kaldırılması için yapılması gerekenler hakkında gerekli bilgileri aktarmaya çalışacağız.

Kişisel verilerin korunması ve işlenmesinin düzenlenmesindeki temel sorun, kişisel verilerin işlenmesine ilişkin hukuki bir dayanağın bulunmasıdır. Unutmayın: Kişisel verilere ilişkin mevzuatın gerekliliklerine uymak için ne kadar çaba ve zaman harcarsanız harcayın, bunların işlenmesine ilişkin ilke ve koşulları ihlal etmeniz durumunda her şey boşuna olabilir. Bizim görüşümüze göre ilkeler (“Kişisel Verilere İlişkin Federal Yasanın 5. Maddesi”) ve işleme koşulları (“Kişisel Verilere İlişkin Federal Yasanın 6. Maddesi”) Federal Yasanın en önemli maddelerinden biridir. Kişisel Veriler Hakkında”. Nedenini açıklayalım. Şaşırtıcı bir şekilde, tanıdığımız ve meslektaşlarımızın görüştüğü İK uzmanlarının %99'u, yalnızca %5'inin buna neden ihtiyaç duyduğunu söyleyebilmesine ve hiçbirisinin olmamasına rağmen, bir çalışanın pasaportunun fotokopisini saklama hakkına sahip olduklarından emindir. Kişisel verilerin somut ortamının (fotokopi) işlenmesinin yasal dayanağını ve meşru amacını adlandırabilir.

Gerçek şu ki, çalışan pasaportlarının fotokopilerinin (kamu hizmetiyle ilgili bazı durumlar hariç) kişisel dosyada saklanmasına ilişkin mevzuatımızda yasal bir dayanak bulunmamaktadır. Önemli olan, amaçsız depolamayı (her ihtimale karşı) ve herhangi bir ihtiyaç için tek seferlik kullanımı karıştırmamaktır (örneğin, bir çalışanın pasaportunun fotokopisini, niteliklerini geliştireceği bir eğitim kurumuna göndermeniz gerekiyorsa veya banka kartı vermek üzere bir bankaya başvurmak). İkinci durumda, bu belgenin bir kopyasına ihtiyacımız olursa, kişisel verilerle belirli bir işlemi gerçekleştirmesini doğrudan ondan talep ederiz. Belgelerin “her ihtimale karşı” saklanması, “Kişisel Verilere İlişkin” Federal Kanunun 5. Maddesi ile yasaklanmıştır.

Ayrıca, çalışanın pasaport fotokopisini işlemek için onayını alsanız bile, bu yardımcı olmayacaktır, çünkü Federal "Kişisel Veriler Hakkında" Kanunun 5. Maddesine göre: yalnızca işlenme amaçlarını karşılayan kişisel veriler tabidir. işlemeye yöneliktir ve amaçların spesifik ve yasal olması gerekir. Kabaca söylemek gerekirse, Rusya Federasyonu Roskomnadzor'a bu verilere neden ihtiyaç duyduğunuzu açıklayamayacaksınız. Diyorsunuz ki - istihdam için size cevap verecekler - Rusya Federasyonu İş Kanunu, bir işe başvururken gerekli olan belgelerin kapalı bir listesini oluşturur. Pasaportuma baktım, verileri T-2'ye yeniden yazdım ve pasaportumu geri verdim. Ve benzeri. Elbette sevgili okuyucular ve personel departmanındaki meslektaşları itiraz edebilir ve zengin hayal güçlerine dayanarak işleme için bir amaç bulabilirler, ancak sayıları yenmek zordur: kişisel bir dosyada bir çalışanın pasaportunun fotokopisinin bulunması Rusya Federasyonu Roskomnadzor ve bölgesel organları tarafından denetim faaliyetleri sırasında kaydedilen en yaygın üç ihlalden biridir.

Çalışanların kişisel verilerinin işlenmesi amaçlarına gelince, Rusya Federasyonu İş Kanunu - Madde 86 çerçevesine uymalıyız: “bir çalışanın kişisel verilerinin işlenmesi yalnızca yasalara uygunluğun sağlanması amacıyla gerçekleştirilebilir ve diğer düzenlemeler, çalışanların iş bulmasına, eğitim almasına ve hizmeti teşvik etmesine yardımcı olmak, çalışanların kişisel güvenliğini sağlamak, yapılan işin nicelik ve niteliğini izlemek ve mal güvenliğini sağlamak.”
Çalışanların kişisel verilerinin işlenmesinde en heyecan verici konulardan biri de kişisel verilerin işlenmesine rıza verilmesidir. İş Kanunu, bir işverenin bir çalışanın kişisel verilerini aktarması durumunda, işverenin bu işleme ilişkin yazılı onay vermesi gerektiğini öngörmektedir.

Burada, denetim faaliyetleri sırasında Roskomnadzor (bölgesel organları) tarafından kaydedilen diğer en yaygın ihlale sorunsuz bir şekilde geçiyoruz. Artık hemen hemen her kuruluşta çalışanlar maaşlarını banka kartlarından alıyor. Ancak çoğu durumda (neredeyse her zaman), kişisel verilerin işlenmesi alanında bir banka ile ilişkiler düzenleyiciler açısından doğru şekilde resmileştirilmemiştir. Öncelikle çalışanın rızasını almayı unutuyorlar ve İş Kanunu'na göre bu rızanın yazılı olması gerektiğinden, “Kişisel Verilere İlişkin” Federal Kanunun 9. maddesinin tüm gereklilikleri ile resmileştirilmesi gerekiyor. Bankalar kendi onay formlarını sağladığından operatörlerin çoğu zaman maaş projesine ilişkin onaylar konusunda kafası karışır. Burada, çalışanın kişisel verilerinin bankaya aktarılması için işverenine izin vermesi gerektiğini anlamak önemlidir (Rusya Federasyonu İş Kanunu'nun 88. Maddesi). Bu nedenle bankanın işveren olarak sizin için aldığı onayların sizin açınızdan hiçbir önemi yoktur. Bir diğer önemli nokta ise, rızanızda çalışanın belirli bir kuruluş belirtmeden verilerinin kredi kuruluşlarına aktarılmasına izin verdiği belirtiliyorsa bu durumda bu da bir ihlal olacaktır. Verilerin hangi bankaya aktarılacağının belirtilmesi gerekmektedir.

Ek olarak, bir banka ile yapılan bir anlaşmada, Roskomnadzor (bölgesel organı), operatörün işlemeyi başka bir kişiye devretmesi gibi, kişisel veriler alanında bu tür yasal ilişkileri sıklıkla fark eder. Yani işveren, bankaya çalışanlarının kişisel verilerinin işlenmesi talimatını vermektedir. Sorunun bu formülasyonu oldukça tartışmalıdır. Hiçbir bankanın gönüllü olarak bunu kabul etmemesi boşuna değil ama bir işlem emrinin olup olmadığı, sorun yaşamamak için nasıl ve ne yapılması gerektiği ayrı bir tartışma konusu. Sadece okuyucuya gerçekleri getiriyoruz - "Kişisel Verilere İlişkin" Federal Kanunun 6. Maddesinin 3. Kısmındaki hükümlerin banka ile yapılan anlaşmada bulunmaması, Roskomnadzor (bölgesel organı) tarafından belirlenen ana ihlallerden biridir. denetim faaliyetlerini yürütürken (üçüncü ana ihlal).

Üstelik burada ihlalde bulunanlar bankalar değil işverenler çünkü kişisel verilerin işlenmesini emanet edenler onlar. Bu nedenle olası sorunlarla karşılaşmamak için banka ile olan sözleşmenizi gözden geçirip eklemeler yapın. Eklenmesi gereken metin Federal Kanunun “Kişisel Verilere İlişkin” 6. Maddesinin 3. Kısmından kolaylıkla çıkarılabilir. Ayrıca sadece banka ile yapılan sözleşmeye değil, çalışanların kişisel verilerini aktardığınız diğer sözleşmelere de dikkat edin. Bu, örneğin çalışanların eğitimi veya tıbbi muayenelere ilişkin sözleşmeler olabilir.

Pasaport fotokopisi sorununa dönecek olursak, çalışanların kişisel dosyalarının tamamına dikkat etmek ve içindeki tüm belgeleri yasal olarak işleyip işlemediğinizi belirlemekte fayda var. Bu belgeler örneğin sabıka kaydına ilişkin bilgiler içeriyor mu? "Kişisel Verilere İlişkin" Federal Kanunun 10. Maddesi uyarınca, sabıka kaydına ilişkin bilgiler yalnızca kanunla belirlenen hallerde işlenebilir. Lütfen tamamını okuyun. Bu nedenle, örneğin bir okul değil, "normal" bir işverenseniz, güvenlik ekibiniz ne kadar istese de çalışanların sabıka kayıtları hakkındaki bilgileri işleyemezsiniz.

Bu alandaki kişisel veri mevzuatının bir diğer yaygın ihlali, yakınlara ilişkin gereksiz bilgilerin toplanmasıdır. Genellikle bir çalışanın kişisel dosyasında akrabalar hakkında iş yerleri, iletişim numaraları (en azından) gibi bilgileri bulabilirsiniz. Ne yazık ki mevzuata güvenirsek çoğu durumda işveren yalnızca T-2 kartında belirtilen akrabalara ilişkin verileri işleyebilir. Doğal olarak çalışanın memur olduğu durumları dikkate almıyoruz. Akrabaların ve benzeri vakaların verilerinde ise bambaşka bir durum var.

İşveren, yasayı ihlal etmenin yanı sıra, çoğu zaman yönetmeliklerin gerekliliklerini de, özellikle de 15 Eylül 2008 tarihli 687 sayılı Hükümet Kararını da ihlal etmektedir. En yaygın durum, bu kararın 6. paragrafının ihlalidir: “Kişisel verileri işleyen kişiler... kişisel verileri işledikleri gerçeği,... işlenen kişisel verilerin kategorileri ve ayrıca bu tür işlemlere ilişkin özellikler ve kurallar…”.

Bu makalede olası tüm ihlalleri ele almak imkansızdır, ancak bunun ana ihlallerden kaçınmanıza yardımcı olacağını umuyoruz. Rusya Federasyonu Roskomnadzor çalışanlarının (bölgesel organları) bir inceleme yaparken yerel belgelerinizi iyice incelemeyeceklerini anlamak da önemlidir; çoğu zaman onlara hiç dikkat etmezler - eğer varsa - iyi (değilse) , o zaman kötü). Rusya Federasyonu Roskomnadzor çalışanları (bölgesel organları) büyük profesyoneller olarak doğru şeyi yapıyorlar, çünkü çok daha önemli olan güzel belgelerin varlığı değil, belirli kişisel verilerin işlenmesinin yasallığıdır. Ve iddialarımızı desteklemek için, ana ihlallerin neredeyse tamamının dahili belgelerinizle hiçbir şekilde ilgili olmadığı açıktır. Uzmanları davet ettiniz, size bir dizi belge hazırladılar, koruyucu ekipman taktılar ve sizi tüm sorunlarla baş başa bırakarak gittiler.

Bu nedenle, bir kuruluşta yetkin bir koruma ve PD işleme sistemi oluşturmanın önemli bir unsuru, kişisel verilere ilişkin mevzuatı anlayan kendi uzmanının varlığıdır. Bunları arayıp kadroyu artırmamız gerektiğini söylemiyoruz. Kişisel verilerin işlenmesi bir İK çalışanının günlük faaliyetidir. Ve personel memurunuzun her şeyi kendisi anlaması ve bu konuda (özellikle çalışanların kişisel verilerinin işlenmesi konularında) iyi bir uzman haline gelmesi iki kat harika olacaktır. Başka konuların kişisel verilerini işliyorsanız her şeyi bir insan kaynakları uzmanına yüklemenize gerek yok çünkü diğer konuların kişisel verilerinin işlenmesi de belli bir bilgi birikimi gerektirir. Belki bunun için birkaç seminere gönderilmesi veya üçüncü taraf uzmanları denetlemeye davet edilmesi gerekecek, ancak bu, böyle bir uzmana hiç sahip olmamaktan daha iyi olacaktır.

Lütfen anlamama yardım et. Ve eğer birisi bunu yaparsa, lütfen bana tam olarak nasıl olduğunu bildirin!

Soru: Kuruluşumuz bazen belirli bir çalışanın bizim için çalışıp çalışmadığını kontrol etmek için banka çalışanlarından telefon çağrıları almaktadır. 3 27 Temmuz 2006 tarihli Federal Kanun N 152-FZ “Kişisel Verilerin Korunması Hakkında” (bundan sonra N 152 sayılı Kanun olarak anılacaktır) -FZ) Kişisel veri, kimliği belirlenen veya bu bilgilere dayanılarak belirlenen (kişisel veriye konu olan) bir bireye ilişkin; soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi dahil her türlü bilgiyi, aile, sosyal, mülkiyet durumu, eğitim, meslek, gelir.

Yani, garip bir konu sorusu.

Bankalar işverenlerden çalışanlar hakkında bilgi istemeyi gerçekten bırakacak mı?

Muhtemelen kredi almış veya İK çalışanı olan herkes, banka temsilcilerinin işvereni arayıp kuruluşun bir çalışanı hakkında bilgi talep ettiği bir durumla karşı karşıya kalmıştır. Bu durumda kanunu kim daha çok çiğniyor: soran mı yoksa cevap veren mi? Bu durumda her şey, birinin ve diğerinin kişisel veri konusunda hangi belgelere sahip olduğuna bağlıdır.

Ne soran ne de cevap verenin kanunu ihlal etmediği bir durum vardır, ancak her ikisinin de kanunu ihlal ettiği olur.

Merhaba, Sberbank maaş kartından maaş aldım, şimdi VTB kartlarına geçiyoruz, işverenin kişisel verileri bizim iznimiz olmadan üçüncü şahıslara aktarma hakkı var mıydı?

Bunu çözelim. Ancak verilen orijinal kazanç belgesine rağmen, kredi başvurusunda bulunan kişinin gerçekten bu kuruluşta çalışıp çalışmadığını ve verilen belgede belirtilen gelirin gerçek olup olmadığını kontrol etmek istiyoruz.

Bir çalışanın kişisel verilerini aktarırken işveren aşağıdaki gerekliliklere uymalıdır: çalışanın kişisel verilerini yazılı izni olmadan ticari amaçlarla ifşa etmemek; Bir kuruluş içindeki bir çalışanın kişisel verilerinin, çalışanın uyması gereken yerel düzenlemelere uygun olarak tek bir girişimciden aktarılması

Bankalarda kişisel verilerin korunması

Bankalar işverenlerden çalışanlar hakkında bilgi istemeyi gerçekten bırakacak mı?

Muhtemelen kredi almış veya İK çalışanı olan herkes, banka temsilcilerinin işvereni arayıp kuruluşun bir çalışanı hakkında bilgi talep ettiği bir durumla karşı karşıya kalmıştır.

Bu durumda kanunu kim daha çok çiğniyor: soran mı yoksa cevap veren mi? Bu durumda her şey, birinin ve diğerinin kişisel veri konusunda hangi belgelere sahip olduğuna bağlıdır. Ne soran ne de cevap verenin kanunu ihlal etmediği bir durum vardır, ancak her ikisinin de kanunu ihlal ettiği olur. Bunu çözelim. Ancak verilen orijinal kazanç belgesine rağmen, kredi başvurusunda bulunan kişinin gerçekten bu kuruluşta çalışıp çalışmadığını ve verilen belgede belirtilen gelirin gerçek olup olmadığını kontrol etmek istiyoruz.

İK departmanı bankalara bilgi verebilir mi?

Lütfen anlamama yardım et.

Ve eğer birisi bunu yaparsa, lütfen bana tam olarak nasıl olduğunu bildirin! Soru: Kuruluşumuz bazen belirli bir çalışanın bizim için çalışıp çalışmadığını kontrol etmek için banka çalışanlarından telefon çağrıları almaktadır. 3 27 Temmuz 2006 tarihli Federal Kanun N 152-FZ “Kişisel Verilerin Korunması Hakkında” (bundan sonra N 152 sayılı Kanun olarak anılacaktır) -FZ) Kişisel veri, kimliği belirlenen veya bu bilgilere dayanılarak belirlenen (kişisel veriye konu olan) bir bireye ilişkin; soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi dahil her türlü bilgiyi, aile, sosyal, mülkiyet durumu, eğitim, meslek, gelir.

Yani, garip bir konu sorusu.

Çalışanların kişisel verilerinin işlenmesinde ana ihlaller

Yasa koyucunun bizi sürekli olarak çalışanların kişisel verilerinin işlenmesini korumaya ve yetkin bir şekilde düzenlemeye itmesine rağmen, çoğu işveren bundan özenle kaçınmaktadır.

Herkesin kendine göre nedenleri vardır ama en önemlisi bilinmeyenden duyulan korkudur. Bu yazımızda çalışanların kişisel verilerinin işlenmesinde karşılaşılan başlıca ihlaller ve bunların ortadan kaldırılması için yapılması gerekenler hakkında gerekli bilgileri aktarmaya çalışacağız. Gerçek şu ki, çalışan pasaportlarının fotokopilerinin (kamu hizmetiyle ilgili bazı durumlar hariç) kişisel dosyada saklanmasına ilişkin mevzuatımızda yasal bir dayanak bulunmamaktadır.

Önemli olan, amaçsız depolamayı (her ihtimale karşı) ve herhangi bir ihtiyaç için tek seferlik kullanımı karıştırmamaktır (örneğin, bir çalışanın pasaportunun fotokopisini, niteliklerini geliştireceği bir eğitim kurumuna göndermeniz gerekiyorsa veya banka kartı vermek üzere bir bankaya başvurmak).

Çalışanların kişisel verilerinin ve banka taleplerinin korunması

“Ticari Kuruluş İnsan Kaynakları Dairesi Başkanlığı”, 2010, N 4 Cevap: Madde gereği. 27 Temmuz 2006 tarihli Federal Kanunun 3'ü N 152-FZ “Kişisel Verilerin Korunması Hakkında” (bundan sonra N 152-FZ Kanunu olarak anılacaktır), kişisel veriler, aşağıdakilere dayanarak tanımlanan veya belirlenen bir kişiye ilişkin her türlü bilgi anlamına gelir: soyadı, adı, soyadı, yılı, ayı, doğum tarihi ve yeri, adresi, ailesi, sosyal durumu, mülkiyet durumu, eğitimi, mesleği, geliri dahil olmak üzere bu tür bilgiler (kişisel verilerin konusu).

İK departmanının çalışmalarında kişisel verilerin korunması

Ziyaretçilerin yalnızca günlük olarak bu amaç için ayrılan saatlerde kabul edilmesi önemlidir.

Sanatın 1. paragrafına dayanarak. Anılan Kanun'un 6. maddesi uyarınca kişisel verilerin işlenmesi ancak ilgili kişinin rızası ile gerçekleştirilebilecek olup, işleme özellikle dağıtım (aktarma dahil) anlamına gelmektedir. Sanatın normları. Rusya Federasyonu İş Kanunu'nun 88'i, işverenin, konularının yazılı izni olmadan kişisel verileri üçüncü bir tarafa açıklama hakkına sahip olmadığını da belirtmektedir.

Diğer zamanlarda şirket çalışanları dahil yetkisiz kişiler İK departmanı tesislerinde bulunamaz.

İşletme çalışanları ile bu kategoriye girmeyen kişilerin çalışma saatleri farklı olmalıdır. Böyle bir ayrım, son grup insan arasında, işletme çalışanlarının konuşmalarını dinleyecek, onların alışkanlıklarını, karakter özelliklerini tanıyacak ve gelecekte bu durumun temelini oluşturabilecek bir saldırganın bulunabileceği gerçeği nedeniyle gereklidir. değerli bilgilere yetkisiz erişim için bir kanalın oluşturulması. Ziyaretçilerin kabulü, bölüm binasında alınmayı bekleyen kimse olmayacak şekilde organize edilmelidir.

Çalışanın başvurusu üzerine bankaya kişisel veri koruma belgesi

Çalışanların kişisel verilerinin aktarılması mümkün müdür? Bankalarda kişisel verilerin korunması Ancak bizim görevimiz tarafların, bankanın ve işverenin eylemlerinin prensipte yasal olup olmadığını anlamaktır? Bankanın, şahsın bilgilerini kontrol etmesi ve işvereninden bilgi alması konusunda yazılı rızası varsa, bankanın işlemleri yasaldır.

Çalışanların kişisel verilerinin korunması ve bankadan gelen talepler “Ticari Kuruluşun İnsan Kaynakları Departmanı”, 2010, Rusya Federasyonu İş Kanunu'nun N 4 88'i, işverenin üçüncü bir tarafa izinsiz bilgi verme hakkına sahip olmadığını da ortaya koymaktadır. konularının yazılı onayı. Abone olmak istediğiniz veya abone olmak istemediğiniz bültenleri seçin.

Otomatik veri alışverişi hizmetiyle çalışmak, değişiklik alışverişi alt sistemine ayrılan bölümde ayrıntılı olarak açıklanmaktadır. Ancak vaka yönlendirme alt sistemi için bir dizi yeni yapılandırma seçeneği eklenmiştir (aşağıdaki tabloya bakınız).

Masa 15 Ek yapılandırma seçenekleri

Vakaların otomatik değişim hizmeti aracılığıyla aktarılması şu şekilde görünür:

    Operatör, otomatik veri alışverişi hizmeti aracılığıyla iletilmek üzere gerekli kayıtları işaretler. Kayıt durumu şu değeri alır: Beklenti;

    Otomatik değişim hizmeti, iletim için kayıtları belirtilen aralıkta tarar (durum kontrolü) Beklenti). Yeni bir kayıt keşfettikten sonra durumunu ayarlar İletilen. Daha sonra işaretlenen kayıt(lar)ın verilerini bir dosyaya yükler;

    Başarılı yükleme sonrasında hizmet, bu dosyayı belirtilen departmana gönderilmek üzere kuyruğa alır. Hizmet konfigürasyonuna bağlı olarak gönderen ve alan birimler arasında iletişim kurulur. Doğrudan bağlantı yoksa dosya aktarım halinde SSD üzerinden gönderilir. Dosya, uzak bir otomatik veri alışverişi hizmeti tarafından alınır;

    Alıcı hizmet, alınan dosyayı işlenmek üzere sıraya koyar. Başarılı bir işlemden sonra bir onay dosyası oluşturulur ve aktarım departmanına gönderilmek üzere kuyruğa alınır. Dosya gönderen departmana aktarılır (otomatik değişim hizmeti yapılandırmasında belirtilen şekilde);

    Gönderen taraf bir onay dosyası alır ve bunu işlenmek üzere sıraya koyar. Dosya işlenir ve yazma onayı ayarlanır.

    1. Uzaktan alım alt sistemi. Veri alışverişinin genel ilkeleri

Belgelerin kabulü ve devlet mülkiyet tescili sertifikalarının verilmesi, bölgesel birimin sektörlerdeki ana çalışma yerinden (belge kabul noktaları) ayrı olarak gerçekleştiğinde ve kayıt, bölge departmanında yapıldığında genellikle bir durum ortaya çıkar. kayıt hizmeti. Sürecin bu şekilde organize edilmesiyle vakaların bir departmandan bir sektöre talep üzerine aktarılması, bu operasyonun uzun sürmesi nedeniyle kabul edilemez. Sektörün, gayrimenkul haklarının tescili için başvuru almaya sürekli hazırlıklı olması gerekiyor.

Bu sorunu çözmek için, Hizmetin çok seviyeli bir organizasyonel yönetim yapısının işleyişini sağlamak için (bkz. Şekil 206), alt iki seviyenin aynı anda aynı veri setleriyle çalıştığı bir uzaktan alım sistemi geliştirildi.

Pirinç. 206 Gayrimenkul haklarının tescili için başvuruların uzaktan kabulüne yönelik bir sistem şeması

Sağlamak kayıtların paralel girişi Temsilciliğin bölgesel departmanlarında ve sektörlerinde aşağıdaki önlemler alınmaktadır:

    Sektörler, Federal Rezerv'in bölümlerinin hiyerarşik yapısında bakanlığa bağlı bir düğüm olarak belirtilmektedir. Sektör numarası üç haneli olup 1'den 9'a kadar seri numarası ve sektörün ait olduğu departmanın iki haneli numarasından oluşur. Örneğin: 158, 258, 358 veya 107, 207, 307. Departmanların numaralandırması değişmeden kalır, yani. iki haneli (58, 07);

    Mevcut 100 adımı yerine 1000'lik bir sıra artış adımı uygulanır. Sıranın başlangıç ​​değeri departman (sektör) numarası ile belirlenir;

    Fonksiyon tarafından hesaplanan mevcut departman (sektör) numarası Curr_ borç_ İD, gerçek departman (sektör) sayısının 100'e bölünmesinden kalan kısım olarak oluşur;

    Mevcut bir veritabanına bir güncelleme yüklerken, anahtarların kopyalanmasını önlemek için tüm sıralar 10 adım ileri alınır. Mevcut anahtar değerlerde herhangi bir değişiklik yapılmaz.

Aktarırken sektörden bölüme değişir Yalnızca değişiklik günlüğüne gelen girişler not edilir ( tecrübe_ RT) bu verilerin veri toplama sunucusuna (DAS) ve diğer sektörlere aktarılmasını sağlamak amacıyla. Bu değişiklikler sektöre de geri bildirimde bulunacak. Bu, tek bir veri alışverişi mekanizması aracılığıyla tüm sektörlerle alışverişlerin aktarılması prosedürünün birleştirilmesi açısından önemlidir.

Dosya oluştururken bakanlıktan sektörlere göre değişiklikler iletilir TÜM departmanda yapılan ve sektörlerden aktarılan değişiklikler. Tüm sektörler için tek bir değişiklik dosyası oluşturulur ve tüm sektörler için tek bir yükleme gerçekleştirilir. tarafından onay alındıktan sonra TÜM sektörlerde yükleme onaylanmış olarak işaretlenir. Onay dosyasının her sektörde otomatik olarak oluşturulan adı, adını son ek olarak içerir. Bu noktaya kadar iletilen tüm veriler alınmış sayılacak ve sonraki değişikliklerin iletilmesinde dikkate alınmayacaktır. Değişiklik dosyası oluşturma formunda, değişikliklerin aktarılma yönünü seçmeye yönelik bir öğe vardır: " SSD'de" veya " Sektöre". Söz konusu durumda yön seçilir " Sektöre". Her iki yöne ait değişim dosyalarının içerikleri birbirinden farklı değildir.

Uzaktan başvuru kabul sisteminde, veri bütünlüğü kontrolü bölgesel departman ile sektör arasında değişiklik alışverişinde bulunurken. Değişiklikleri aktarırken alınan veriler her zaman veritabanındaki mevcut verilerin yerini alır. Değişiklikleri aktarırken, veri tabanında halihazırda mevcut olanlarla aynı kadastro numarasını veya aynı sertifika numarasını içeren veriler alınırsa, ilgili bir hata mesajı verilir. Aktarılan kayıtlar eklenirken benzersiz anahtar ihlalleri tespit edilirse, kaydın kalan alanları yeni alınan alanlarla değiştirilir. Farklı veritabanlarında yapılan verilerde birbirini dışlayan düzeltmeler nedeniyle ortaya çıkan sorunların çözümü sistem yöneticisinin sorumluluğundadır.

Gayrimenkulün devlet tescili için belgeleri uzaktan kabul ederken, sektörler kendi Gelen belgelerin muhasebe defterleri. İÇİNDE KUVD Bu sektörle ilgili olmayan, yalnızca izin verilir düzenleme kayıtlar ve kayıtların oluşturulması ve silinmesi engellendi! Bu yaklaşım, kayıt numaralarının kopyalanmasını önlemenizi sağlar. KUVD, Çünkü Kayıtlar farklı sunucularda oluşturulur ve oluşturuldukları sırada aynı numaraya sahip bir kaydın varlığını kontrol etmek teknik olarak imkansızdır. KUVD başka bir sunucuda. Yani böyle bir organizasyon, yönetici müdahalesini gerektiren çatışma durumlarının sayısını en aza indirir.

Şeklinde Veriler yükleniyor bilgileri veri toplama sunucusuna aktarmak için değişim yönü seçilir " SSD'de". Yükleme onayı, tek bir veri alındı ​​onayı esas alınarak yapılır.

Tam boşaltma iki durumda yapılır:

    harici bir kaynaktan gelen verileri kullanarak bir veritabanı oluştururken. Bu durum örneğin bir departmanın veri tabanının tamamen kaybolması durumunda ortaya çıkar. Veritabanı, veri toplama sunucusunda (DCS) depolanan verilere dayanarak geri yüklenir;

    bir veri toplama sunucusu oluştururken. SSD'yi doldurmak için tam bir boşaltma gerçekleştirilir. Departmandan yeni oluşturulan sektöre tam boşaltma da gerçekleştiriliyor - gayrimenkulün devlet tescili için belgelerin uzaktan kabulü için bir nokta.

Tamamen boşaltıldığında neredeyse tüm kayıtlar alıcıya aktarılır.

Değişiklikleri gönderirken her biri için oluşturuldu/değiştirildi/silindi kayıtlar tabloda tetikleyici tarafından işaretlenir tecrübe_ rt. Etiketlenen tüm girişler tecrübe_ rt, alıcıya gönderilecektir. Sektörlere ve SSD'ye aktarımların muhasebeleştirilmesi ayrı ayrı yapılır.

İdeal çalışma planı" Departman<=>sektör" aşağıdaki gibi:

    Departmanın sektörlere boşaltılmasının tamamlanması.

    Sektör 1'deki değişiklikler yükleniyor.

    Sektör 1'deki departmandan onay alın.

    Departmandaki değişiklikler yükleniyor.

    Departmandaki tüm sektörlerden onay alın.

    Sektör 2'deki değişiklikler yükleniyor.

    Sektör 2'deki departmandan onay alın.

    Departmandaki değişiklikler yükleniyor.

    Departmandaki tüm sektörlerden onay alın.

Bir vatandaşın tam adı ve diğer kişisel bilgileri kişisel veridir. Bir şirketin çalışanları varsa veya müşterilerin veya diğer kişilerin kişisel verilerini saklıyorsa, 152-FZ sayılı "Kişisel Verilere İlişkin" Federal Yasanın gerekliliklerine uymak zorundadır. Uyumlulukları Roskomnadzor tarafından sıkı bir şekilde izlenmektedir. Pek çok gereklilik vardır ve uyulmaması durumunda ciddi sorumluluk sağlanır.

Çalışanların ve müşterilerin kişisel verilerinin nasıl korunacağı ve cezalardan kaçınmak için kişisel verilerle yapılan çalışmaların nasıl düzgün şekilde organize edileceği hakkındaki yayınımızı okuyun.

Kişisel veri nedir?

152-FZ sayılı Kanuna göre kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiyle doğrudan veya dolaylı olarak ilgili olan her türlü bilgidir. Yani, bilgiden veya bütünlüğünden tam olarak kimden bahsettiğimizi anlamak mümkünse, kişisel verilerden bahsedebiliriz. Bir kişinin kimliğinin belirlenmesi mümkün değilse bu tür bilgiler kişisel veri olarak sınıflandırılamaz.

Mevzuat kişisel verilerin kapsamlı bir listesini sunmamaktadır. Verilerin kişisel olup olmadığına her durumda ayrı ayrı karar verilir. Ancak genellikle şunları içerirler:

  • soyadı, adı, soyadı;
  • Konut adresi;
  • e-posta adresi;
  • telefon numarası;
  • Doğum tarihi;
  • Doğum yeri;
  • milliyet;
  • din;
  • iş yeri;
  • iş unvanı;
  • yükseklik;
  • vesaire.

İK departmanı kişisel verileri nasıl korumalıdır?

İK departmanının kişisel verilerin korunması alanındaki sorumlulukları, Rusya Federasyonu İş Kanunu'nun 14. Bölümünde ve Sanatta açıkça belirtilmiştir. 152-FZ Sayılı Kanunun 18.1'i.

Bu nedenle İK çalışanları şunları yapmalıdır:

  1. Kişisel verilerin işlenmesi konusunda eğitim alın ve becerilerinizi geliştirin (İK departmanının kişisel verilere ilişkin mevzuata uygunluğu konusunda işveren sorumluysa, eğitime harcanacaktır).
  2. Kişisel verilerle (kişisel verileri içeren belgeler) tüm eylemleri yalnızca çalışanın yazılı izniyle gerçekleştirin. Bu arada, belirli bir çalışanın çalışmasıyla ilgili bilgilerin kredi kuruluşlarına telefonla bildirilmesi de yalnızca çalışanın yazılı izni ile yapılmalıdır.
  3. Bir iş sözleşmesi imzalamadan önce çalışanları, şirketteki kişisel verilerin işlenmesi prosedürünü tanımlayan yerel düzenlemeler hakkında bilgilendirin.
  4. Kişisel verilere sınırlı erişim rejimine uyun (İK uzmanları arasındaki erişimi işlevselliğe uygun olarak sınırlayın, kilitli dolaplar, kasalar, kilitleme ve engelleme cihazları kullanın).

Düzenleyici otoritelerden ve çalışanlardan gelecek taleplerden nasıl kaçınılır?

Öncelikle kişisel verisi işlenen kişi kompozisyonunun belirlenmesi gerekmektedir.

Şirket yalnızca kişisel verilerle ilgileniyorsa:

  • iş sözleşmesi kapsamında çalışan çalışanlar;
  • GPC anlaşmaları kapsamında çalışmak;
  • ve diğer bireyler.

Kişisel verilerin İK departmanı tarafından işlenmesi yalnızca soyadı, adı ve soyadı ile sınırlı olduğunda, hem çalışanlar hem de sözleşmeye giren diğer kişiler için şirketin kişisel verilerin işlenmesi alanındaki politikasını tanımlayan tek ve kapsamlı bir belgenin geliştirilmesi yeterlidir. Kişisel verileri işlenen şirket ile ilişkiler.

Konu aralığı ve kişisel veri listesi daha genişse (örneğin, bir şirket müşterilerinin kişisel verilerini işliyor ve saklıyorsa), kendinizi yerel düzenlemelerle sınırlamak mümkün olmayacaktır. Bu durumda 152-FZ sayılı Kanun şirkete aşağıdakileri zorunlu kılmaktadır:

  1. Roskomnadzor'a kişisel verileri işleme niyetini bildirmek;
  2. Kişisel verilerin işlenmesi ve korunmasına ilişkin prosedürü tanımlayan belgelerin bir listesini hazırlamak. Bu tür belgelerin listesi oldukça kapsamlıdır. Uygulama bunun şöyle olduğunu gösteriyor:
    • Kişisel verilerin işlenmesini organize etmekten sorumlu bir kişinin atanmasına ilişkin emir;
    • Operatörün kişisel verilerin işlenmesine ilişkin politikasını tanımlayan bir belge;
    • Çalışanların kişisel verilerin işlenmesine ilişkin rızası (üçüncü taraflara aktarım ve üçüncü taraflardan bilgi alınması dahil);
    • Operatörün kişisel verileri korumak için yasal, organizasyonel ve teknik önlemleri almasına ilişkin hükümleri içeren bir belge;
    • Kişisel veri sahiplerinden gelen talep ve taleplerin alınması ve işlenmesinin düzenlenmesine ilişkin belgeler;
    • Otomasyon araçları kullanılmadan işlenen kişisel verilerin kategorilerini, bunların işlenmesine ilişkin özellikleri ve kuralları tanımlayan belgeler;
    • Kişisel veri konusunun bölgeye bir kerelik girişi için gerekli kişisel verileri içeren dergilerin (kayıtlar, kitaplar) tutulmasına ilişkin gereklilikleri belirleyen bir belge;
    • Kişisel verileri içeren somut medyanın saklanmasına ilişkin gereklilikleri belirleyen bir belge;
    • Bilgi sistemlerinin sınıflandırılmasına ilişkin belge;
    • Operatör veya yetkili kişi tarafından onaylanan, bilgi sisteminde işlenen kişisel verilere erişmesi gereken kişilerin listesi;
    • Çalışanların kişisel verilerinin işlenmesine ilişkin prosedürü belirleyen bir belge.

Kişisel verilerin şirket adına işlenmesi bir sağlayıcı (örneğin, dış kaynak kullanan bir muhasebe şirketi) tarafından gerçekleştiriliyorsa, yukarıdaki belge listesi eklenir:

  1. Kişisel verilerin işlenmesine ilişkin yazılı talimat. Böyle bir emir, hizmetlerin sağlanmasına ilişkin ana sözleşmeye dahil edilebilir ve yalnızca sağlayıcıya kişisel verileri şirket adına işleme emrini değil, aynı zamanda bu tür işlemenin amaçlarını, bunlarla ilgili eylemlerin bir listesini de içermelidir; bunların bileşimi ve ayrıca sağlayıcının kişisel verilerin gizliliğini ve güvenliğini koruma yükümlülüğü ve bunların korunmasına ilişkin gereklilikler.
  2. Her çalışandan kişisel verilerin sağlayıcıya aktarılmasına ilişkin onay

Gördüğünüz gibi kişisel verilerin işlenmesini düzenleyen belgelerin listesi oldukça kapsamlıdır. Belge akışını çok sayıda yerel düzenlemeyle (siparişler, düzenlemeler, talimatlar vb.) Aşırı yüklememek ve işe alım sürecini yerel belgelere sonsuz bir alışma süreci ile aşırı yüklememek için, tüm yönleri düzenleyen bir belgenin onaylanması önerilir. şirkette kişisel verilerle çalışma.

Kişisel verilerin korunması açısından muhasebe şirketinizi nasıl kontrol edebilirsiniz?

Muhasebe dış kaynak hizmetleri sağlayan şirketler de dahil olmak üzere, daha önce listelenen tüm gereklilikler sağlayıcı için geçerlidir.

Bilinçli sağlayıcı:

  • Müşterinin talebi üzerine, kişisel veri operatörlerinin federal sicilinden bir alıntı sağlayacaktır (sağlayıcı şirket, Roskomnadzor'a bildirimde bulunduktan sonra bu kayda dahil edilir).

Önemli!

Sağlayıcının bildirim prosedürüne uygunluğunu Roskomnadzor web sitesinde kendiniz kontrol edebilirsiniz: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Müşterilerin kişisel verilerine ilişkin Politikasını size tanıtacağız.
  • Hizmet sözleşmesine, sağlayıcının şirket adına kişisel verileri işleme konusundaki görev ve yükümlülüklerinin yanı sıra bu verilerin korunmasına ilişkin yükümlülükleri de ekleyin.

Önemli!

Sağlayıcı, bir hizmet sözleşmesinin yürütülmesiyle bağlantılı olarak işlediği kişisel verilerin ilgililerinden onay almak zorunda değildir; bu nedenle, kişisel verileri sağlayıcıya aktarmak için çalışanlardan yazılı onay aldığınızdan emin olun.

152-FZ kanununun ihlali sorumluluğu

Kişisel verilerin korunması alanında olası ihlalleri ve ceza tutarlarını tabloda sıraladık:

Ne için para cezasına çarptırılabilirler?

Ceza miktarı

Kişisel veriler rızanın verildiği amaçlar dışında işlenir

Örneğin, bir çalışanın kişisel verileri ücretlerin hesaplanması, personel kayıtlarının tutulması amacıyla işlenir ancak kredi almak, kişisel banka hesabı açmak veya herhangi bir şey satmak amacıyla işlenmez. Kişisel verilerin işlenmesine ilişkin onay, işleme amaçlarını belirtmelidir - bu, 152-FZ sayılı Kanunun bir gereğidir.

30.000 ila 50.000 ruble.

Kişisel verilerin İK departmanı tarafından yazılı onay alınmaksızın işlenmesi(doğal olarak gerekli olduğunda)

15.000 ila 75.000 ruble arasında.

Kişisel veri işleme politikası yayınlanmamış veya kamuya açık değil(standta, web sitesinde vb.)

15.000 ila 30.000 ruble.

Kişisel veri operatörü, çalışanın (kişisel veriye konu olan) talebine yanıt vermedi

Örneğin, AAA şirketinin sahibi olduğu *** web sitesinden e-postanıza düzenli bir haber bülteni gönderilir. Haber bülteninin alıcısı, AAA şirketine, kişisel verilerinin işlendiği gerçeğini, bileşimini, bu işleme amaçlarını vb. doğrulamak için bir talep gönderir. AAA'nın 30 gün içinde resmi bir yanıt vermesi gerekir. Eğer böyle bir yanıt gelmezse bu bir ihlaldir.

20.000 ila 45.000 ruble.

Kişisel veri içeren kağıt belgelerin korunmasına ilişkin koşullar ihlal edildi

Örneğin, yetkisiz bir kişinin kazara erişimi, kişisel verilerin imhası, dağıtımı vb. nedeniyle veri sızıntısı yaşandı.

25.000 ila 50.000 ruble.

Mahkemeler yetersiz korunan kişisel veriler hakkında ne söylüyor?

  • Muhasebe hizmetlerinin sağlanmasına ilişkin sözleşme metni, kişisel verilerin işlenmesi sırasında gizliliğini ve güvenliğini sağlamaya yönelik temel koşulları içermiyordu, kişisel verileri işleyen kişi tarafından kişisel verilerle gerçekleştirilecek eylemlerin bir listesi yoktu ve işlenen kişisel verilerin korunmasına ilişkin şartlar belirtilmemiştir. Şirkete ihlali ortadan kaldırma emri verildi (Kuzey-Batı Bölgesi Federal Anti-Tekel Hizmetinin A44-5910/2012 sayılı davada 29 Nisan 2013 tarihli Kararı).
  • Müdür, bireylerin kişisel verilerini (tam ad, adres, borç miktarı) bu kişilerin yazılı izni olmadan sağlayıcıya aktardı. Müdür, 152-FZ sayılı Kanunun gerekliliklerini ihlal ettiği için para cezasına çarptırıldı (Nizhny Novgorod Bölge Mahkemesinin 12 Mayıs 2015 tarih ve 4a-288/2015 sayılı Kararı).

Şirketlerin ve yöneticilerin para cezasına çarptırıldığı ilk 5 ihlal

Kişisel verilerle çalışma gerekliliklerini ihlal edebilir ve Roskomnadzor'dan tamamen kazara para cezası kazanabilirsiniz. En yaygın ihlaller:

1. Masanın üzerinde bırakılan belgeler

Çoğu zaman, tam zamanlı muhasebe ve küçük muhasebe firmalarında, masaüstünde kağıt yığınları yığılır ve hiç kimse bu kağıtların kişisel veri içerip içermediğini takip etmez. Ancak çalışanların kişisel belgelerini halka açık bir yerde bırakmak imkansızdır çünkü kişisel bilgiler yabancıların (meslektaşlar, tedarikçi firma temsilcileri) eline geçebilir.

İyi : şirket başkanı için - 10.000 rubleye kadar; şirket için - 50.000 rubleye kadar; bireysel girişimciler için - 20.000 rubleye kadar. (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinin 6. Bölümü).

. Kişisel bilgilerle çalışmak için bir prosedür geliştirmek gerekir. Kişisel bilgilerin yer aldığı kağıtların masaya bırakılmasının ve ofis dışına çıkarılmasının yasak olduğu açıkça belirtiliyor. Belgeler, erişimin sınırlı olacağı bir kasada veya dolapta saklanmalıdır.

2. Çalışana kişisel verilerinin yer aldığı belgeler verilmedi

Çalışanlara maaş bordrosu verilmemesi, kıdem süresine ilişkin bilgiler ve diğer evraklardan bahsediyoruz. Bu aynı zamanda kişisel verilerin çalışandan gizlenmesi anlamına da gelir.

İyi : şirket başkanı için - 5.000 rubleye kadar; şirket için - 50.000 rubleye kadar; bireysel girişimciler için - 5.000 rubleye kadar. (Rusya Federasyonu İdari Suçlar Kanunu'nun 5.27. Maddesi).

Kişisel verilerin korunması örneği . Maaş bordrolarını çalışanlarınıza e-postayla veya kuruluşunuzun kurumsal web sitesindeki bir mesajla gönderin. Hizmet süresine ilişkin bilgi, çalışanın başvurduğu andan itibaren ve işten çıkarılma gününden itibaren 3 takvim günü içinde yayınlanmalıdır.

3. Çalışan verilerini güncellemeyi unuttum

Veriler, çalışanın talebi üzerine, örneğin evlilikten sonra soyadının veya kayıt adresinin değişmesi durumunda güncellenir. Şirket bunu yapmazsa kişisel verilerle çalışma kurallarını ihlal etmiş olacaktır.

İyi : şirket başkanı için - 10.000 rubleye kadar; şirket için - 45.000 rubleye kadar; bireysel girişimciler için - 20.000 rubleye kadar. (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinin 5. Bölümü).

Kişisel verilerin korunması örneği . Bir çalışanın değişiklikleri onaylayan belgeleri getirmesi durumunda, yeni verileri derhal veritabanına girin.

4. Kişisel bilgilerin kamuya açık bir yerde yayınlanması

Kişisel veriler tamamen şans eseri bir standa veya kurumsal web sitesine düşer - örneğin, mülk kesintisi için örnek bir başvuru olarak, baş muhasebeci bir şirket çalışanından alınan başvurunun bir kopyasını standa astı. Belge kişisel ayrıntılar içeriyorsa, çalışan ayrıntılarının yayınlanmasına izin vermediği için bu bir ihlaldir.

İyi : şirket başkanı için - 20.000 rubleye kadar; bir şirket için - 75.000 rubleye kadar. (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinin 2. Bölümü).

Kişisel verilerin korunması örneği . Hiçbir zaman gerçek belgeleri örnek olarak kullanmayın; örnekleri hayali bilgiler kullanarak hazırlayın.

5. Çalışanın adının, adresinin ve telefon numarasının üçüncü kişilere açıklanması

Çalışanlara ilişkin bilgiler bir banka veya tahsilat kurumu tarafından talep edilebilir. Çalışanın rızası olmadan bu tür bir bilgi aktarımı ihlal teşkil eder.

İyi : şirket başkanı için - 10.000 rubleye kadar; bir şirket için - 50.000 rubleye kadar. (Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesinin 1. Bölümü).

Kişisel verilerin korunması örneği . Bir çalışan hakkındaki bilgileri, başka bir kuruluşun veya kişilerin talebi üzerine, ancak çalışanın kendisine bilgi almak için vekaletname vermesi durumunda aktarabilirsiniz.

***

Şirketimiz, hem çalışanlarının hem de müşterilerinin kişisel verilerinin işlenmesi ve korunması konusunda sorumlu bir yaklaşım benimser.

Özellikle, 1C-WiseAdvice şirketi:

  • kişisel veri operatörlerinin kaydına dahil edilmiştir (kayıt numarası 77-16-004753);
  • Kişisel Veri Politikasına uygun olduğunu ve müşterinin ilk talebi üzerine bunu sağlamaya hazır olduğunu;
  • profesyonel muhasebe hizmetlerine ilişkin sözleşmeler çerçevesinde kişisel verilerin işlenmesine ilişkin yükümlülükleri titizlikle yerine getirir;
  • hizmet sunma sürecinde kişisel verilerin korunması konularında profesyonel danışmanlık desteği sağlar.

1C-WiseAdvice uzmanları, kişisel verilerin işlenmesine ilişkin yasal gerekliliklere uygunluk açısından şirketinizin dahili belgelerini kontrol etmeye, tavsiyelerde bulunmaya ve para cezalarından kaçınmak için gerekli belgelerin hazırlanmasına yardımcı olmaya her zaman hazırdır.

Bizimle iletişime geçin - çalışanlarınızın kişisel verilerini üçüncü taraf saldırılarından ve şirketinizi para cezalarından korumaktan mutluluk duyarız!

Bir uzmana başvurun