Защита персональных данных. Какие меры необходимо принять в любой компании

Компании

24 декабря

11532

#CNT# data-template-html-inactive=В избранное #CNT#>

Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.

Пример

  • Регламент, утверждающий общие тезисы защиты ПнД;
  • Положение об обработке ПД на бумаге и в инфосистеме;
  • Инструкции, регламентирующие хранение, предоставление ПД, назначение и функции ответственных, работу с личными сведениями при нахождении в зоне ответственности оператора посторонних.

Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:

  1. Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
  2. Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.

Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

  • работодателя — оператора ПнД;
  • работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Пример

  • обработка ПнД в ИСПДн;
  • использование ПД при оформлении бланков документов;
  • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
  • принятие решения в отношении соискателя и т.д.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

  • проанализируйте фактическую деятельность предприятия;
  • изучите устав — там указаны основные направления работы;
  • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

  • При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.
  • Пример перечня должностей и перечня документов с персональными данными
  • Защита персональных данных. Какие меры необходимо принять в любой компании

Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.

Совет
Мы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие.

Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

  • Инспекции труда;
  • Прокуратура РФ;
  • Правоохранительные органы;
  • Налоговики;
  • Военные комиссариаты;
  • Отделы миграционного учета иностранных граждан;
  • другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

  • название, месторасположение;
  • цели передачи и объем переданных сведений;
  • операции с ПнД;
  • механизмы и правила обработки;
  • требования к защите.
Совет
Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту.
Пример
Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. 

Пример реестра персональных данных и действий по их обработке

Защита персональных данных. Какие меры необходимо принять в любой компании

Ст. 5, п.5 No152-ФЗ посвящена:

  • соразмерности объема и характера полученных данных объявленным целям;
  • запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

Пример
Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. 
Важно!
Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

Совет
Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

  • установление аутентичности субъектов и объектов доступа;
  • наблюдение за допусками;
  • защита носителей, хранящих / обрабатывающих ПД;
  • наблюдение за событиями;
  • обследование защищенности ПД;
  • обеспечение невредимости ИС и информации;
  • доступность ПД;
  • защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:

  • с достигнутой целью обработки;
  • вместе с действием согласия на обработку ПД/его отзыва;
  • согласно нормам об архивном деле.
Совет
Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте.
Важно!
Напоминаем — базы данных личных сведений работников локализуются в России

В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:

  • для обработки спецкатегорий ПД;
  • работа с биометрией;
  • содержащие общедоступные данные;
  • все остальные (исключая специальные, биометрические, общедоступные);
  • только перс данные работников оператора.

В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.

Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.

Защита персональных данных. Какие меры необходимо принять в любой компании

Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:

  • системном ПО — 1 тип;
  • прикладном ПО — 2 тип;
  • в системном и прикладном ПО — 3 тип.

Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.

Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности —  пунктах 13 -16.

Помимо регламентации порядка передачи ПД третьим лицам, политика обработки и защиты персональных данных определяет действия ответственных лиц при нахождении посторонних на территории.

Сотрудники, уполномоченные на работу с ПД, обеспечивают такое поведение третьих лиц (соискателей, деловых партнеров, курьеров и т.д.), чтобы полностью исключить несанкционированный доступ к ПД.

Этот порядок закрепите в Регламенте о ПД пошагово.

Читайте также:  Долевое участие в строительстве. Что можно требовать от застройщика, если он не выполняет обязательства

Опишите в локальном акте правила доступа к тем личным данным, которые обрабатываются в инфосистемах. Укажите способы регистрации и учета всех операций с конфиденциальной информацией.

В соответствии с законом зафиксируйте в ЛНА действия оператора на требование работника (других субъектов ПД) о корректировке, удалении, уничтожении (и т.д.) обрабатываемых персональных данных.

Здесь же опишите порядок действий при отзыве согласия на обработку ПД.

Совет
Рекомендуем включить во внутренний нормативный документ способы реагирования на обращения как субъектов персданных (их представителей), так и органов, контролирующих обработку ПД на предприятиях.

Отдельно распишите действия на запросы по поводу неточности, неправомерности обработки, отзыва согласия, доступа субъекта к данным. Разработайте и включите в Регламент соответствующие формы для подобных обращений.

К утвержденному локальному акту по политике обработки персональных данных предоставьте неограниченный доступ. Это достигается публикацией документа на сайте компании, внутренних интернет-ресурсах, размещением бумажной копии на стендах, другими способами.

Скачайте Положение об обработке и защите персональных данных работников образец

Защита персональных данных. Какие меры необходимо принять в любой компании

 

Меры по обеспечению защиты персональных данных в организации | Организация защиты персональный данных в организации по ФЗ №152-ФЗ "О персональных данных"

Любая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным. На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

  • ФИО;
  • информация о дате рождения;
  • гражданство;
  • СНИЛС;
  • индивидуальный налоговый номер;
  • владение иностранными языками;
  • полученное образование;
  • приобретенные профессии, специальности;
  • сведения о составе семьи;
  • место проживания;
  • контакты;
  • отношение к военной обязанности;
  • трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

  • допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
  • назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
  • создание списка документации, в которой содержатся ПД;
  • выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
  • ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
  • периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
  • рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
  • создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
  • формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
  • описание процедуры удаления неиспользуемой информации;
  • своевременное выявление и устранение нарушений норм защиты ПД;
  • проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

  • пропускной режим;
  • соблюдение установленных правил приема посетителей и их учета;
  • использование приборов для охраны;
  • программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят: 

  • обрабатываемые ПД;
  • технология работы с информацией средствами вычислительной техники;
  • техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
  • средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

  • определение актуальных угроз безопасности;
  • формирование моделей угроз;
  • разработка систем защиты ПДн (СЗПДн);
  • проверка работоспособности средств защиты информации (СЗИ);
  • заключение о пригодности к эксплуатации;
  • установка и ввод в эксплуатацию СЗИ;
  • обучение сотрудников работе с СЗИ;
  • контроль работы СЗИ;
  • оформление техдокументации;
  • определение круга сотрудников, допущенных к работе с ИСПД;
  • при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
  • принятие мер по ликвидации последствий этих нарушений;
  • обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
  • проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

  • управление доступом к ПД, регистрация и учет всех действий с этими данными;
  • обеспечение целостности персональной информации;
  • применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
  • создание межсетевого экрана;
  • анализ защищенности и принятие мер по ее усилению;
  • обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

  • положение о ПД;
  • список служащих, работающих с персональными данными;
  • приказ об утверждении работника, отвечающего за работу с персональными данными;
  • положение о мерах по ЗПД;
  • инструкцию о служебном расследовании фактов разглашения личных данных работников;
  • инструктаж по ЗПД;
  • журнал антивирусных проверок;
  • журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона. Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Как соблюсти все требования 152-ФЗ и не получить штраф | Блог VK Cloud Solutions

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Читайте также:  Информация о госконтракте может даваться в извещении в виде отсылок?

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Можно получить сразу два штрафа:

  1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.

Обработка и защита персональных данных в организациях

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

  • Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).
  • Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.
  • На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.
  • За работой операторов надзирает несколько ведомств:
  1. Роскомнадзор.
  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
  3. ФСБ России.
  4. Прокуратура Российской Федерации.

Категории персональных данных

Персональные данные делятся на категории:

  • общая;
  • специальная;
  • биометрические данные;
  • обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

  • отпечатки пальцев;
  • ДНК;
  • сканирование сетчатки;
  • распознавание радужки.

Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

Как обрабатывать ПДн

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

  1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
    • сотрудников фирмы;
    • при заключении договоров;
    • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
  2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
  3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
  4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
  5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

    Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

    Чаще всего это:

    • регламент обработки данных;
    • правила компании по подбору персонала;
    • введение пропускного режима;
    • перечень мест хранения данных;
    • регламент уточнения, уничтожения ПДн.
  6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
  7. Утвердить перечень сотрудников, которые допущены к работе с информацией.

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

  1. Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

    Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

  2. Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
  3. Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.

Чем грозит невыполнение требований по обработке персональных данных

За нарушение законодательства предусмотрен полный спектр юридической ответственности:

  • дисциплинарная — за неправомерную обработку данных работником компании;
  • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
  • административная — когда это предусмотрено Кодексом об административных правонарушениях;
  • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

Наиболее частое наказание — назначение административного штрафа.

Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

Размер штрафа Граждане Должностные лица Юрлица и индивидуальные предприниматели
Минимальный Предупреждение или Штраф 1 – 3 тыс. р. Штраф 5 – 10 тыс. р. Штраф 30 – 50 тыс. р.
Максимальный Штраф 30 – 50 тыс.р. Штраф 100 – 200 тыс. р. Штраф 1 – 6 млн р.
За повторное нарушение Штраф 50 – 100 тыс. р. Штраф 500 – 800 тыс. р. Штраф 6 – 18 млн р.

Основные нормативные документы, касающиеся обработки персональных данных

Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

  1. Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108.

    Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

  2. Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

    Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

  3. Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

    ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

  4. Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». ФЗ № 149-ФЗ определяет право на доступ к информации, условия ограничения доступа, требования к защите информации, ответственность за разглашение информации ограниченного доступа.
  5. ТК РФ, Глава 14 — применительно к защите персональных сведений работников организации.
  6. Указе Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».

    Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

  7. Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

Читайте также:  Как обратить взыскание на долю должника в общем имуществе в исполнительном производстве?

Защита персональных данных работника по ТК РФ

Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

Какие существуют требования к обработке персональных данных работников организации?

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

В каком порядке должна осуществляться обработка персональных данных физлиц?

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.
  • Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.
  • Являются ли номер телефона и адрес электронной почты персональными данными?
  • Перечень данных, считающихся персональными:
  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Кто и какую ответственность несет за нарушение законодательства о персональных данных?

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст.

90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Требования к передаче персональных данных

  1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
  2. Запрет на коммерческое использование полученных данных.
  3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
  4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
  5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *