1 de julio datos personales. Ley Federal de Datos Personales

El portal de información jurídica contiene un documento firmado por el Presidente de la Federación de Rusia "Sobre las enmiendas al Código de Infracciones Administrativas de la Federación de Rusia", que establece nuevas multas por violar la legislación de la Federación de Rusia en el campo de los datos personales, que entrará en vigor el 1 de julio de 2017.

Las disposiciones de la Ley Federal aclaran los motivos para aplicar medidas de responsabilidad administrativa por violación de la legislación de la Federación de Rusia en el campo de los datos personales, teniendo en cuenta las modificaciones introducidas en la Ley Federal del 27 de julio de 2006 No. 152-FZ. “Sobre Datos Personales”. Se están realizando cambios principalmente en el artículo 13.11, así como en los artículos 28.3 y 28.4 del Código de Infracciones Administrativas de la Federación de Rusia.

Entonces, ¿qué cambiará en el ámbito de los datos personales a partir del 1 de julio de 2017? La nueva versión del artículo 13.11 contiene ahora siete infracciones específicas y prevé multas correspondientes, siendo la mayor de ellas de 75.000 rublos (para personas jurídicas). A diferencia de la edición anterior del artículo 13.11, la nueva edición del artículo establece claramente los casos por los que el operador de PD puede ser sancionado. Por ejemplo, según el artículo 13.11 era posible castigar por la violación de la Ley Federal No. 242, con la nueva edición será imposible hacerlo, así como será difícil castigar por no notificar a Roskomnadzor.

El texto del Artículo 13.11 se presenta brevemente en la figura siguiente. Se puede descargar una descripción más detallada en forma de tabla. Y el análisis artículo por artículo se proporciona en el artículo.

Recordemos que desde diciembre de 2014 se están preparando cambios al artículo 13.11, pero los legisladores congelaron el trabajo al respecto durante mucho tiempo. El punto más significativo de la primera versión de este proyecto de ley era una multa relativamente elevada (hasta 300.000 rublos) por el procesamiento ilegal de datos personales de categorías especiales, pero en la versión adoptada este texto fue eliminado:

Tratamiento de categorías especiales de datos personales. relacionados con raza, nacionalidad, opiniones políticas, creencias religiosas o filosóficas, estado de salud, vida íntima y también datos personales sobre antecedentes penales en los casos no previstos por la ley Federación de Rusia sobre datos personales,
- implica la imposición de una multa administrativa a los ciudadanos de tres mil a cinco mil rublos; para funcionarios: de diez mil a veinticinco mil rublos; para empresarios individuales: de cincuenta mil a cien mil rublos;para personas jurídicas - de ciento cincuenta mil hasta trescientos mil rublos.

¿Cuáles son las principales consecuencias de las enmiendas? Hay muchos de ellos:

1. Debido al hecho de que la redacción del artículo 13.11 se ha vuelto más específica, muchos expertos expresan preocupación ( , ) que el sistema de imposición de sanciones puede cambiar fundamentalmente. Si según la edición actual el castigo podría ser uno por “violación del procedimiento establecido por la ley...”, en total, no importa cuántas violaciones se encuentren, la nueva redacción del artículo 13.11 ha cambiado y simplemente enumera siete delitos para los cuales es posible elaborar un protocolo separado y asignar una multa separada. Aparentemente, deberíamos esperar un aumento en el monto total de la multa tras la inspección.
2. A partir del 1 de julio, los protocolos sobre infracciones administrativas tipificadas bajo la nueva redacción del artículo 13.11 quedarán funcionarios de Roskomnadzor y sus departamentos territoriales, y no fiscales, como ocurre ahora. El plazo para llevar ante la justicia sigue siendo el mismo que antes: 3 meses, pero el procedimiento para llevar ante la justicia se ha simplificado significativamente: se ha acortado la cadena "departamento territorial de Roskomnadzor" - "Fiscalía" - "Tribunal", materiales avanzará más rápido y probablemente habrá más multas.
3. No todas las infracciones anteriormente calificadas en virtud del artículo 13.11 pueden imputarse a los operadores de conformidad con la nueva edición: este artículo no prevé, por ejemplo, responsabilidad por el incumplimiento de la Ley Federal No. 242 sobre la localización de bases de datos personales.

No se apresure a cerrar el artículo. Probablemente te preguntaste mentalmente: “¿Qué tiene esto que ver conmigo?” — Respondo, esta ley puede afectarte también a ti, y puede que ni siquiera lo sospeches. Vayamos en orden.

Introducción

El 7 de febrero de 2017 se modificaron el artículo 13.11 del Código de Infracciones Administrativas en relación con violaciones a la ley de datos personales. Estas enmiendas entrarán en vigor pronto: el 1 de julio de 2017.

¿Qué son los datos personales?

Los datos personales pueden entenderse como cualquier información directa o indirectamente relacionada con un individuo específico (sujeto de datos personales) - párrafo 1 del artículo 3 de la Ley Federal de 27 de julio de 2006 No. 152-FZ. Ejemplos de dicha información pueden ser apellido, nombre, patronímico, fecha y lugar de nacimiento, lugar de residencia, etc.

¿Qué cambiará el 1 de julio de 2017?

Nueva Ley Federal del 07/02. 2017 No. 13-FZ amplió significativamente la lista de motivos para responsabilizar administrativamente a las personas en el campo de la protección de datos personales y también aumentó el monto de las multas administrativas.

Lo interesante es que no será la fiscalía, como antes, sino Roskomnadzor la que elaborará protocolos para las violaciones en este ámbito. Esto significa que las cosas irán mucho más rápido y las multas se enviarán en lotes, si no en paquetes.

¿Qué tenemos que ver con eso?

Probablemente la mayoría de mis lectores todavía no entienden cómo se aplica todo esto a ellos. Pero la línea aquí es muy delgada: ¿cómo saber si eres un operador de datos personales?

Si, con la ayuda de su blog, sitio web, portal o tienda en línea, recibe algún dato personal del usuario (cuáles, consulte más arriba), automáticamente quedará sujeto a esta ley. Primaria, ¿es posible registrarse en su sitio ingresando su nombre, correo electrónico y dirección? Felicitaciones, ya estás bajo la ley.

Esto se aplica a usted si:

Su página web te permite producir registro de usuario(incluso con un conjunto mínimo de datos “nombre + correo electrónico”). Ejemplos:

• foros;
• medios de comunicación social;
• muchos sitios de noticias;
• tiendas en línea;
• blogs;
• sitios con anuncios privados;
• etcétera.

Su página web permite introducir datos personales de los usuarios en formularios, que posteriormente son publicados en el sitio web o enviados por correo electrónico. Por ejemplo, si el sitio tiene la función "devolverme la llamada", la posibilidad de enviar un pedido rápido o suscribirse a un boletín informativo, etc.

Su página web justo ya contiene datos personales reales los ciudadanos.

Tu compañía(entidad jurídica o empresario individual) se dedican al procesamiento de datos personales de forma continua los ciudadanos. Esto es cierto para:

• la mayoría de los bufetes de abogados;
• absolutamente todos los registradores (en el sentido de empresas involucradas en el registro de personas jurídicas y empresarios individuales, cambios, liquidación, etc.);
• registrador;
• empresas contables que prestan servicios de subcontratación de contabilidad y recursos humanos;
• bancos, organizaciones de microfinanzas y otras empresas del sector financiero que trabajan con datos de ciudadanos;
• instituciones médicas;
• tiendas, salones de belleza y otras organizaciones similares con tarjetas de club personales (esto es especialmente popular entre las cadenas de tiendas de cosméticos);
• organizaciones e instituciones educativas (incluidas aquellas que imparten cursos de corta duración o capacitaciones únicas);
• Asociaciones de propietarios y empresas gestoras del sector de la vivienda y los servicios comunales;
• agencias de viajes;
• tribunales de arbitraje;
• etcétera.

Tu compañía activamente trabaja con autónomos(bajo contrato civil).

Su empresa utiliza CRM o sistemas similares.

¿Qué hacer?

Necesita poder trabajar correctamente con datos personales.

Como mínimo necesitas:

• obtener el consentimiento por escrito de cada usuario, cliente o suscriptor para el procesamiento, almacenamiento y distribución de datos personales;
• publicar información disponible públicamente sobre todo lo relacionado con los datos personales del usuario;
• Solicite sólo los datos que sean necesarios para un propósito específico. Por ejemplo, no puede solicitar la dirección de su casa o la información de su pasaporte para suscribirse a un boletín informativo por correo electrónico;
• utilizar datos únicamente para los fines especificados en los documentos y sobre los cuales la persona fue advertida;
• informar, a petición de una persona, qué datos tiene sobre ella, cómo y por qué se procesan y a quién los transfirió;
• eliminar, previa solicitud, los datos que se utilizan para enviar información sobre descuentos y promociones;
• almacenar bases de datos en un lugar seguro, protegerlas contra piratería y fugas;
• capacitar a los empleados para trabajar con datos personales;

Excepciones

Esto no le concierne en los siguientes casos, ya que para ellos no se aplica la Ley Federal “Sobre Datos Personales”:

1. El procesamiento de datos personales lo realizan los individuos únicamente para necesidades personales y familiares, pero si no se violan los derechos de los titulares de los datos personales;
2. El procesamiento de datos personales se lleva a cabo cuando se trabaja con documentos del Fondo de Archivo de la Federación de Rusia y documentos similares;
3. Los datos personales se clasifican como información que constituye un secreto de estado;
4. Los datos personales se refieren a información pública sobre las actividades de los tribunales de la Federación de Rusia.

Desafortunadamente, no soy abogado en esta área y no puedo darle respuestas exactas sobre qué debe hacer exactamente para protegerse al 100%. Bueno, ni siquiera los propios profesionales pueden dar respuestas inequívocas, ya que hay muchos matices e imprecisiones, sin mencionar el hecho de que la ley no ha entrado en vigor. En cualquier caso, el propósito de mi post era precisamente advertirles que ese tipo de “basura” existe. Bueno, entonces, como dicen, el que está advertido está armado de antemano.

A partir del 1 de julio de 2017, cambios en el art. 13.11 Código de Infracciones Administrativas de la Federación de Rusia sobre responsabilidad administrativa por violación de la legislación sobre datos personales de personas físicas. Dado que las modificaciones afectan a todos los que utilizan datos personales, consideraremos estas innovaciones en nuestro artículo.

Tratamiento de datos personales – 2017

Los datos personales son cualquier información directa o indirectamente relacionada con un individuo específico (nombre, dirección residencial, fecha de nacimiento, datos del pasaporte, número de teléfono, fotografía, dirección de correo electrónico, etc.). Una organización, agencia gubernamental o individuo que recopila y procesa datos personales se denomina operador (Ley de Datos Personales del 27 de julio de 2006 No. 152-FZ). Estos incluyen a los empleadores, así como a todas las personas que reciben datos personales de los ciudadanos: instituciones médicas, instituciones educativas, tiendas en línea, etc.

Para el empleador, dichos datos son necesarios en relación con las relaciones laborales. Sólo pueden recibirse personalmente del propio empleado y de terceros, con su consentimiento por escrito. El individuo da su consentimiento por escrito para el procesamiento de datos personales. El formulario no está aprobado por ley, puede redactarlo usted mismo, teniendo en cuenta los requisitos del apartado 4 del art. 9 de la Ley No. 152-FZ (Cláusula 3, Parte 1, Artículo 86 del Código del Trabajo de la Federación de Rusia, Cláusula 1, Artículo 9 de la Ley 152-FZ).

Consentimiento para el tratamiento de datos personales (muestra)

Es inaceptable recopilar y procesar datos personales de los empleados que no estén relacionados con su actividad laboral, por ejemplo, sobre participación en asociaciones públicas, religión, vida personal, etc. Lo mismo se aplica a otros operadores que solicitan datos que no están relacionados con el propósito de su procesamiento (por ejemplo, indicar datos de pasaporte en un cuestionario sobre la evaluación del rendimiento del sitio). Los datos recibidos no deben ser cedidos a terceros ni distribuidos sin el consentimiento del individuo (artículo 7 de la Ley No. 152-FZ).

El operador está obligado a brindar una protección adecuada a los datos, para lo cual establece el procedimiento para su recepción, procesamiento y almacenamiento en el Reglamento de Datos Personales u otras normas internas. El documento define las medidas necesarias y también asigna un responsable del tratamiento. El acceso a dichos datos debe permitirse únicamente a personas autorizadas, y estas tienen derecho a recibir únicamente la información necesaria para realizar funciones específicas (artículo 88 del Código del Trabajo de la Federación de Rusia, artículo 18.1 de la Ley No. 152-FZ).

Las regulaciones sobre datos personales u otro documento sobre la política para su procesamiento son de dominio público y se presentan a solicitud de organismos autorizados; esto se aplica tanto a los empleadores como a otros operadores (Partes 2 y 4 del artículo 18.1 de la Ley N ° 152 -FZ).

Datos personales – 2017: novedad en responsabilidad administrativa

La Ley N ° 13-FZ del 07/02/2017 adoptó una nueva versión del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia. Si antes el artículo contenía un solo elemento: la violación de la Ley federal sobre datos personales, ahora se trata de una lista completa de siete motivos de responsabilidad administrativa y, en consecuencia, de diversas multas. Es probable que si un operador detecta varias infracciones se enfrente a varias multas, no sólo a una.

Además, los artículos 28.3 y 28.4 del Código de Infracciones Administrativas de la Federación de Rusia han sufrido cambios, simplificando el proceso de llevar a los operadores ante la justicia: desde el 01/07/2017, se elaboran protocolos sobre violaciones de la Ley 152-FZ sobre datos personales. por empleados de Roskomnadzor, y no por el fiscal, como antes. El plazo para comparecer ante la justicia siguió siendo el mismo: tres meses.

¿Por qué les multan ahora?

A continuación se detallan los motivos por los cuales los empresarios y organizaciones que procesan datos personales ahora pueden ser considerados administrativamente responsables:

• Los datos se procesan en los casos no previstos por la Ley federal sobre datos personales o su procesamiento es incompatible con los fines de la recopilación (Parte 1 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El uso ilegal de datos personales, si no implica responsabilidad penal, está sujeto a una advertencia o una multa: para individuos por un monto de 1.000 a 3.000 rublos, para funcionarios, de 5.000 a 10.000 rublos, para organizaciones, de 30.000 a 50.000 rublos.
• Procesamiento de datos sin el consentimiento por escrito requerido por la ley (cláusula 2 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El consentimiento para el procesamiento debe contener la información especificada en la Parte 4 del art. 9 de la Ley 152-FZ sobre datos personales. Los cambios de 2017 prevén una multa por su ausencia a partir del 1 de julio por la siguiente cantidad: para infractores individuales: de 3.000 a 5.000 rublos, para funcionarios: de 10.000 a 20.000 rublos, para organizaciones: de 15.000 a 75.000 rublos.
• Falta de acceso ilimitado a la política del operador en el campo del procesamiento de datos personales (cláusula 3 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). La obligación de proporcionar acceso se establece en el inciso 2 del art. 18.1 de la Ley 152-FZ sobre datos personales. La imposibilidad de familiarizarse con dicho documento en papel o en un sitio web, si los datos se recopilan a través de Internet, le costará a los operadores: 700-1500 rublos. - particulares, 3000-6000 rublos. – funcionarios, 5.000-10.000 rublos. – Empresario individual, 15.000-30.000 rublos. – organizaciones, y en el mejor de los casos todo se hará con una advertencia.
• No proporcionar a una persona información sobre el procesamiento de sus datos personales (cláusula 4 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). El procedimiento para solicitar dicha información está prescrito en el artículo 14 de la Ley 152-FZ. Los cambios desde el 01/07/2017 son los siguientes: la infracción está sujeta a una advertencia o una multa de 1000 a 2000 rublos. – particulares, 4000-6000 rublos. - funcionarios, 10.000-15.000 rublos. – Empresario individual, 20.000-40.000 rublos. – organizaciones.
• Incumplimiento dentro del plazo establecido del requisito de bloquear, modificar o destruir datos personales (Cláusula 5 del artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). Un particular o su representante podrá realizar tales demandas si los datos son incompletos, inexactos, obtenidos en violación de la ley o están desactualizados, así lo establece el artículo 21 de la Ley de Datos Personales No. 152-FZ. Los infractores recibirán una advertencia o una multa: 1000-2000 rublos. para particulares, 4.000-10.000 rublos. funcionarios, 10.000-20.000 rublos. – Empresario individual, 25.000-45.000 rublos. organizaciones.
• Incumplimiento de las condiciones que garantizan la seguridad de los datos personales durante el procesamiento no automatizado (Cláusula 6, artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia). Esto se aplica a los datos “en papel”, cuyo acceso no autorizado ha provocado su destrucción, daño, distribución ilegal, etc. No garantizar la protección de los datos personales en 2017 conlleva una multa de 700 a 2000 rublos. para los ciudadanos, 4.000-10.000 rublos. para funcionarios, entre 10.000 y 20.000 rublos. para empresarios individuales y 25.000-50.000 rublos. para organizaciones.

Estos son los cambios en protección de datos personales en 2017, con efectos desde el 1 de julio. Como podemos ver, las infracciones se han vuelto más específicas y las multas para los operadores se han vuelto notablemente más severas.

¡Hola querido colega!

Si tiene un sitio web, a partir del 1 de julio puede enfrentar multas de hasta 300.000 rublos. simplemente por no marcar la información necesaria.

En febrero de 2017 se realizaron modificaciones a la Ley Federal 152 sobre violaciones a la ley de datos personales.

Las modificaciones entrarán en vigor el 1 de julio de 2017 y afectarán a todos los que procesen y almacenen datos personales en el sitio.

¿Es usted responsable del tratamiento de datos personales?

Lo eres si utilizas las siguientes herramientas:

• comentarios (formulario de comentarios, solicitar una devolución de llamada, cualquier formulario de solicitud),
• usuarios (registro, autorización, datos de redes sociales),
• ventas (datos para la entrega y comunicación con el cliente),
• e-mail marketing (suscripción a noticias, newsletters, lead magnet).

Los datos personales son cualquier información sobre el usuario mediante la cual pueda ser identificado.

Por ejemplo, es imposible entender qué tipo de persona es una persona por su nombre e inicio de sesión. Pero iniciando sesión y enviando un correo electrónico ya es posible. También puede identificar a un usuario por el píxel de retargeting instalado en el sitio.

Por lo tanto, usted es el operador de los datos personales si los usuarios de su sitio web dejan los siguientes datos en cualquier combinación:

• correo electrónico
• teléfono
• DIRECCIÓN
• educación, estado civil, nivel de ingresos,
• Galleta
• Dirección IP y datos de ubicación.

¿Qué hacer con el sitio?

1. El alojamiento y la base de datos deben estar ubicados en Rusia.
   En cuanto al almacenamiento de datos personales en la Ley Federal 152, no todo es transparente y comprensible, por lo que para evitar problemas es mejor guiarse por los requisitos de la Ley Federal 242 y almacenar datos en el territorio de la Federación de Rusia.
2. Consentimiento al tratamiento de datos personales
   Debajo de cada formulario, coloque el texto “Al hacer clic en el botón, usted acepta el procesamiento de sus datos personales” y un enlace al documento.
3. Colocar un enlace a la política de datos personales en el pie de página.
   Es necesario preparar documentos sobre el trabajo con datos personales (por ley, estos documentos se pueden combinar en uno solo).
4. Regístrate en Roskomnadzor
   Enlace de registro http://pd.rkn.gov.ru/operators-registry/notification/form/.
5. Colocar información emergente en el sitio sobre la recopilación de cookies.

Además necesitas:

1. Informar, previa solicitud de una persona, qué datos dispone de ella, cómo y por qué se tratan y a quién se los ha transferido
2. Eliminar los datos utilizados para el envío de correo a petición
3. Firmar obligaciones de confidencialidad con los empleados
4. Proteja su sitio web y su base de datos contra piratería y filtraciones

¿Por qué es necesario registrarse en Roskomnadzor?

Por ley, los operadores de datos personales deben notificar a Roskomnadzor, y esto debe hacerse antes del inicio del procesamiento de datos o al menos antes del 1 de julio de 2017.

No podrá presentarse la notificación si:

1. Sólo se procesan datos de los empleados.
2. Los datos personales se obtuvieron únicamente para la ejecución de un contrato específico con una persona específica y no serán utilizados de ninguna manera y mucho menos difundidos.
3. La propia persona publicó estos datos en el dominio público.
4. Sólo tienes el nombre completo del cliente.

Multas

La multa no depende del tipo de infracción. Para un empresario individual o director: 1000 rublos, para una entidad jurídica: 10 000 rublos.

La fiscalía impone multas. El procedimiento es largo, la cantidad no es elevada, por lo que no hubo preocupaciones especiales al respecto.

7 tipos de infracciones, multa total de hasta 295.000 rublos.

• Sin política de privacidad: multa de 10 mil rublos. para empresarios individuales, 30 mil rublos. para una persona jurídica.
• No hay consentimiento para el procesamiento de datos personales de un cliente de la tienda o un suscriptor de un curso informativo: una multa de 20 mil rublos. para empresarios individuales, 75 mil rublos. para una persona jurídica.
• En el formulario de comentarios no hay ningún vínculo con el procesamiento de datos personales, entonces la multa para una entidad legal es de 50 mil rublos.
• Por negarse a aclarar o eliminar datos personales, una multa de 20 mil rublos. para empresarios individuales y 45 mil rublos. para una persona jurídica.

Roskomnadzor es responsable de imponer multas y las decisiones se toman rápidamente.

Antes de imponer una multa, Roskomnadzor envía una notificación de infracción y una exigencia de presentación de documentos.

¿Serán realmente multados?

Como dicen, el tiempo lo dirá. Pero por el momento, en la región de Tambovo y Astrakhan, la fiscalía simplemente revisa la lista de sitios y los multa por los formularios de comentarios.

Tal vez no tengan nada más que hacer, tal vez estén atizando el miedo antes de que se introduzca la ley. Pero de una forma u otra, es mejor estar preparado.

Tatiana Gezha,
Consultor experto jefe, TLS-PRAVO LLC

Desde el 1 de julio de 2017, la responsabilidad por violaciones durante el procesamiento de datos personales ha aumentado significativamente. La Ley Federal N° 13-FZ de 7/02/2017 “Sobre las enmiendas al Código de Infracciones Administrativas de la Federación de Rusia” modificó el artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia. La nueva edición contiene un baremo diferenciado de sanciones y se introducen siete nuevas infracciones. No sólo las organizaciones, sino también los funcionarios tendrán que rendir cuentas. Además de aquellas organizaciones que procesan datos personales de clientes individuales, estos cambios ciertamente se aplican a todos los empleadores que procesan datos personales de sus empleados. Examinaremos algunas situaciones prácticas por las que un empleador puede ser considerado responsable.

Datos personales de los empleados

De conformidad con el art. 3 de la Ley Federal de 27 de julio de 2006 No. 152-FZ “Sobre Datos Personales”, los datos personales son cualquier información relacionada con un individuo identificado o identificable directa o indirectamente (sujeto de datos personales), es decir, esta es cualquier información sobre un Persona por la cual puede ser identificado. Incluyendo: nombre completo, año, mes, fecha y lugar de nacimiento, dirección, estado civil, educación, profesión, ingresos y otra información.
Para identificar a una persona, a veces basta con tener el apellido, nombre y patronímico y alguna información adicional, por ejemplo, el nombre completo. y número de teléfono. En este caso, es posible identificar a la persona.
Si, por ejemplo, sólo tienes una dirección de correo electrónico y un número de teléfono, es poco probable que puedas identificar a la persona.
En la mayoría de los casos, los datos personales que tratan los funcionarios de personal y los contadores son apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, número de teléfono, estado civil, educación, profesión.

¿Es necesario obtener el consentimiento para el tratamiento de datos personales al solicitar un empleo?

Al celebrar un contrato de trabajo de conformidad con el art. 65 del Código del Trabajo de la Federación de Rusia, el empleador recibe del empleado una gran lista de datos personales. Estos, en particular, incluyen: datos de documentos de identidad, SNILS, libro de trabajo, datos de educación, documentos de registro militar, etc. Todos estos son datos personales del empleado.
Dado que el empleado es parte en un contrato de trabajo, no es necesario obtener el consentimiento para el procesamiento de sus datos personales al celebrar un contrato de trabajo (Cláusula 5, Artículo 6 de la Ley No. 152-FZ de 27 de julio de 2006 “Sobre Datos personales"). Roskomnadzor también señala esto en sus Explicaciones "Cuestiones relacionadas con el procesamiento de datos personales de los empleados, los solicitantes de puestos vacantes, así como las personas en la reserva de personal".

¿Tiene el empleador derecho, después de haber recibido los datos personales del empleado al celebrar un contrato de trabajo, a conservar copias de pasaportes, identificaciones militares, diplomas, etc. en su expediente personal?

Si el servicio de personal guarda copias de pasaportes o identificaciones militares en los archivos personales de los empleados, Roskomnadzor, al realizar una inspección, puede responsabilizar al empleador de conformidad con la Parte 1 del art. 13.11 del Código de Infracciones Administrativas de la Federación de Rusia para el procesamiento de datos personales excesivos de un empleado en los casos no previstos por la legislación de la Federación de Rusia en el campo de los datos personales.
Por esto, una entidad jurídica puede recibir una multa de 30.000 a 50.000 rublos, y un funcionario, de 5.000 a 10.000 rublos.
Esta conclusión está confirmada por la práctica judicial (ver Resolución del Servicio Federal Antimonopolio del Distrito del Cáucaso Norte de 21 de abril de 2014 en el caso No. A53-13327/2013).
Esta Resolución, en particular, establece: “... el tribunal de apelación concluyó correctamente que para la identificación de una persona al momento de postular a un empleo, son suficientes el apellido, nombre y patronímico, siempre que la persona presente un documento de identificación que contiene toda la información necesaria.
El almacenamiento de copias de un pasaporte, páginas de una identificación militar, certificado de matrimonio, certificado de nacimiento de un niño en el lugar de trabajo excede el volumen de datos personales procesados ​​del empleado y no está previsto por la legislación vigente, esto viola los derechos y libertades del ciudadano, reduce el nivel de derechos y garantías del empleado,
contrario a la ley federal.
Durante la auditoría... se llegó a la conclusión correcta de que “la organización<…>lleva a cabo el procesamiento de datos personales redundantes, en comparación con los identificados para los fines indicados de su procesamiento, lo que constituye una violación de la Parte 5 del art. 5 de la Ley N° 152-FZ”.

¿Es una organización que alquila una oficina en un edificio en el que está vigente el control de acceso, cuando envía datos personales de los empleados a un tercero con el fin de expedirles pases para ingresar al edificio, para obtener su permiso para transferir dichos datos a terceros? ¿fiestas?

De conformidad con el art. 88 del Código del Trabajo de la Federación de Rusia, el empleador no debe revelar los datos personales del empleado a un tercero sin el consentimiento por escrito del empleado, excepto en los casos en que sea necesario para evitar una amenaza a la vida y la salud de el empleado, así como en otros casos previstos por el Código del Trabajo de la Federación de Rusia u otras leyes federales.
En su Carta No. 1302-6-1 del 13 de mayo de 2011, Rostrud explica que si una organización que no es parte en la relación laboral está procesando datos personales de los empleados, la transferencia de datos personales de los empleados de esta organización para su posterior el tratamiento debe realizarse respetando las restricciones establecidas por el art. 88 Código del Trabajo de la Federación de Rusia.
Esto significa que para emitir pases, la organización debe obtener permiso de los empleados para transferir sus datos personales a un tercero: una organización de terceros.
En caso contrario, la parte 2 del art. 13.11 Código de Infracciones Administrativas de la Federación de Rusia: procesamiento de datos personales sin el consentimiento por escrito del interesado para el procesamiento de sus datos personales en los casos en que dicho consentimiento deba obtenerse de conformidad con la legislación de la Federación de Rusia en la materia de datos personales<…>conlleva la imposición de una multa administrativa<…>para funcionarios: de 10.000 a 20.000 rublos; para personas jurídicas: de 15.000 a 75.000 rublos.

Registro de una tarjeta personal de empleado.

Al contratar, el empleador debe emitir una tarjeta personal para el empleado en el formulario T-2. Para cumplimentarlo, ¿es necesario obtener el consentimiento de los familiares del empleado para el tratamiento de sus datos personales?
De acuerdo con las Explicaciones de Roskomnadzor, el procesamiento de datos personales de familiares cercanos del empleado en la medida prevista en el formulario unificado No. T-2, aprobado por Resolución del Comité Estatal de Estadística de la Federación de Rusia del 5 de enero , 2004 No. 1 “Sobre la aprobación de formas unificadas de documentación contable primaria para registrar el trabajo y su pago”, o en los casos establecidos por la legislación de la Federación de Rusia (recibir pensión alimenticia, obtener acceso a secretos de estado, emitir beneficios sociales) no es requerido.
En otros casos, obtener el consentimiento de los familiares cercanos del empleado es una condición obligatoria para el procesamiento de sus datos personales; de lo contrario, también es posible ser considerado responsable de conformidad con la Parte 2 del art. 13.11 Código de Infracciones Administrativas de la Federación de Rusia.

El personal y la contabilidad son realizados por un tercero. ¿Es necesario obtener el consentimiento de los empleados para tratar sus datos personales?

De acuerdo con las Explicaciones de Roskomnadzor, al contratar organizaciones de terceros para mantener registros contables y de personal, el empleador está obligado a cumplir con los requisitos establecidos en la Parte 3 del art. 6 de la Ley Federal "Sobre Datos Personales", incluida la obtención del consentimiento de los empleados para la transferencia de sus datos personales. De lo contrario, el empleador podrá ser considerado responsable de conformidad con la parte 2 del art. 13.11 Código de Infracciones Administrativas de la Federación de Rusia.

¿Qué se debe indicar en el consentimiento para el tratamiento de datos personales?

De conformidad con la parte 2 del art. 13.11 del Código de Infracciones Administrativas de la Federación de Rusia, un empleador puede ser considerado responsable del procesamiento de datos personales en violación de los requisitos establecidos por la legislación de la Federación de Rusia en el campo de los datos personales para la composición de la información incluida en el consentimiento por escrito del titular de los datos personales para el procesamiento de sus datos personales.
El consentimiento del empleado al tratamiento de datos personales deberá constar por escrito. Tiene sentido que el empleador desarrolle y apruebe, como anexo al reglamento sobre empleados personales, un formulario de consentimiento del empleado para el procesamiento y transferencia de sus datos personales.
Los requisitos para el contenido del consentimiento por escrito se establecen en la Parte 4 del art. 9 de la Ley N° 152-FZ “Sobre Datos Personales”.

El consentimiento debe indicar:
Nombre completo, dirección del empleado, datos de su documento de identidad, incluida la fecha de emisión e información sobre la autoridad emisora;
al recibir el consentimiento del representante del empleado: su nombre completo, dirección, detalles de su documento de identidad, incluida la fecha de emisión e información sobre la autoridad que lo emitió, detalles del poder u otro documento que confirme la autoridad del representante. ;
nombre o nombre completo y dirección del empleador;
finalidad del procesamiento de datos personales;
lista de datos personales que están sujetos a procesamiento;
NOMBRE COMPLETO. y la dirección de la persona o el nombre de la organización que procesa datos personales en nombre del empleador, si se confía a dicha persona u organización;
una lista de acciones con datos personales a las que el empleado ha dado su consentimiento, una descripción general de los métodos para procesarlos;
el período durante el cual es válido el consentimiento del empleado para el procesamiento de sus datos personales y el método para revocar el consentimiento;
Firma del empleado.

¿Es necesario desarrollar una regulación sobre datos personales de los empleados?

De conformidad con el art. 87 del Código del Trabajo de la Federación de Rusia, el empleador establece el procedimiento para almacenar y utilizar los datos personales de los empleados de conformidad con los requisitos del Código del Trabajo de la Federación de Rusia y otras leyes federales.
El empleador deberá determinar la política de la organización en materia de procesamiento de datos personales, y también emitir una ley local que establecerá el procedimiento para el procesamiento, almacenamiento y protección de los datos personales de los empleados (cláusula 2, inciso 1, artículo 18 de la Ley No. 152- Ley Federal “Sobre Datos Personales”).
Esto significa que el empleador debe emitir un reglamento local en el que prescribirá todo el procedimiento que regulará el almacenamiento y uso de datos personales, así como garantizará la protección de estos últimos contra el uso o pérdida ilegal.
Los empleados deben estar familiarizados con la ley correspondiente, así como con sus derechos en materia de protección de datos personales, al momento de la firma.
La necesidad de aprobar dicho documento está confirmada por la práctica judicial (ver, por ejemplo, Resolución del Servicio Federal Antimonopolio del Distrito de Moscú de 26 de octubre de 2006 No. KA-A40/10220-06).

Una estructura de posición aproximada podría ser así:

1) “Disposiciones generales”: esta sección debe indicar el propósito para el cual se adopta este Reglamento y qué cuestiones regula;
2) “Conceptos básicos. Composición de los datos personales de los empleados” - aquí debe indicar qué documentos de la organización contienen datos personales;
3) “Procesamiento de datos personales”: esta sección debe indicar qué condiciones deben cumplirse al procesar los datos personales del empleado;
4) “Transferencia de datos personales”: aquí debe especificar el procedimiento para transferir datos personales de los empleados dentro de la organización, así como a terceros y organismos gubernamentales;
5) “Acceso a datos personales”: esta sección debe contener información sobre el procedimiento para acceder a los datos personales de los empleados. El acceso se divide en interno (suministro de datos personales a empleados individuales de la organización) y externo (transferencia de datos personales a representantes de otras organizaciones y organismos gubernamentales);
6) “Responsabilidad por violar las reglas que rigen el procesamiento y protección de datos personales”: en esta sección debe indicar quién en la organización es responsable de violar las reglas para almacenar y usar datos personales.
La ausencia de un procedimiento para almacenar y utilizar los datos personales de los empleados desarrollados en la organización se considera una violación de los requisitos del art. 87 del Código del Trabajo de la Federación de Rusia y, en consecuencia, constituye una infracción administrativa en virtud del art. 5.27 Código de Infracciones Administrativas de la Federación de Rusia. (ver, por ejemplo, la Decisión del Tribunal Supremo de la República de Karelia de 11 de abril de 2014 en el caso No. 21-153/2014).