Защита персональных данных: пошаговая инструкция - Komsindrom.ru

Защита персональных данных: пошаговая инструкция

Содержание

Как реализовать защиту персональных данных в организации и не только? Пошаговая инструкция

В эпоху Интернета и цифровых технологий персональная информация человека находится под угрозой.

Выкладывая личные данные на страницах многочисленных социальных сетей, в резюме сайтов по поиску работы, да и просто заполняя опросный лист интернет-магазинов, пользователь рискует тем, что выложенные сугубо личные данные могут быть использованы мошенниками в противозаконных действиях.

Мы не задумываемся, где оставляем информацию о себе и своей жизни, а так же, кто из доверенных субъектов может передавать её третьим лицам.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Общие правила

Защита персональной информации может обеспечиваться несколькими источниками права:

  • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
  • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
  • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса: между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

  • Ограниченный доступ к хранилищам и архивам материалов.
  • Верификация запрашивающего лица перед предоставлением информации.
  • Ознакомительный формат предоставления сведений.
  • Санкции и штрафы за нарушения правил.

Технические:

  • Криптография и шифрование данных.
  • Создание отдельных серверов и каналов связи.
  • Уничтожение неактуальных материалов.
  • Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

  1. Свободное бесплатное обращение к документам, где фигурируют его личные материалы.
    Работник может потребовать копию любого нормативного документа.
  2. Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  3. Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

  • Акт уничтожения переносных носителей ПД.
  • Акт классификации носителей ПД.
  • Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

  • Инструкция к действиям оператора базы ПД.
  • Инструкция по обеспечению информационной безопасности.
  • Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

  • Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
  • Извещение о прекращении действия оператора баз ПД.
  • Ответ на запрос получения или обработки информации.

Приказы:

  • Генеральный приказ о работе базы ПД.
  • Приказ о назначении администрации и персонала базы ПД.
  • Приказ об охране информации в ячейках базы данных.
  • Приказ о проверке классификации ячеек БД.

Уведомления — это сообщения о факте обработки личной информации или таких намерениях.

Прочие:

  • Журналы учёта и архив запросов.
  • Положение об обработке личных материалов.
  • Устав организации, регулирующий принципы и алгоритмы работы с личными сведениями.
  • Соглашение пользователя.
  • Документ о политике конфиденциальности.
  • Перечень средств и методов защиты, применяемых, согласно алгоритму.

О полном перечне документов, который понадобится для организации защиты ПД, мы рассказывали тут, а из этой статьи вы узнаете, какие документы потребуются для защиты персональных данных сотрудников организаций.

Далее подробно расскажем, как реализовать защиту личных сведений.

Пошаговая инструкция по обереганию информации

Здесь вы найдете пошаговую инструкцию по сохранности личной информации

В организации

Как реализовать на предприятии:

  1. Разработка проекта алгоритма обработки персональных сведений.
  2. Разработка системы согласия и отказа на обработку личных материалов.
  3. Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
  4. Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
  5. Издательство приказа о введении материалов работников предприятия в базу данных.

Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.

  • Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.
  • На сайте интернет-магазина

    1. Пользовательское соглашение на сайте интернет-магазина, где указаны:
    • общие условия использования ресурсом;
    • факторы ответственности владельца организации;
    • как происходит защита прав на сайте, чем она гарантирована.

    Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

    Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

  • Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.
  • Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.

    В медицинских учреждениях

    Правила и требования такие:

    1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
    2. Способы и методы обработки личных материалов, применяющиеся оператором.
    3. Сведения о лицах, которые получат доступ к личным сведениям.
    4. Перечень обрабатываемых личных сведений и источник их получения.
    5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
    6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
    7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

    Таковы правила для медицинских учреждений.

    В сети

    Как защитить личные сведения в интернете?

    Для сайта организации или предприятия порядок такой:

    1. Обработка персональных сведений с использованием средств автоматизированной вычислительной техники подразумевает совершение операций с такими материалами при помощи приборов вычислительной техники в Интернете.
    2. Безопасность вашей информации при их обработке в Интернет обеспечена системой защиты персональных материалов, включающей организационные мероприятия и методы защиты информации, а также используемые в Интернет информационные технологии.
    3. Технические и цифровые средства защиты персональных материалов должны удовлетворять утверждённым в соответствии с законами РФ требованиям, гарантирующим охрану информации.

    Методы защиты информации, применяемые в сети, в утверждённом порядке проходят процедуру оценочного соответствия.

  • Допуск субъектов к обработке персональных сведений с использованием автоматизации предоставляется на основании «Положения о персональных данных работников и обучающихся» (п. 6) при наличии ключей (паролей) доступа.
  • Действия с персональными сведениями, содержащимися в Интернет,регулируется в согласии с «Положением о корпоративной компьютерной сети», «Инструкцией пользователя при работе в корпоративной компьютерной сети», «Инструкцией пользователя при обработке персональной информации на объектах вычислительной техники», с которыми сотрудник, в должностные обязанности которого включена обработка персональных материалов, знакомится под роспись.
  • Операции с персональными материалами в сети должна быть построена так, чтобы обеспечивалась охрану носителей анонимных данных и методик охраны сведений, а также сделать невозможным факт несанкционированного нахождения в этих помещениях сторонних лиц.
  • Машины и электронные каталоги, содержащие файлы с конфиденциальными сведениями, для каждого пользователя должны быть зашифрованы уникальными ключами доступа, состоящими из шести и более знаков.

    Заключение

    Незнание закона не снимает ответственность, что очень важно в эпоху интернета и высоких технологий. Уследить за всеми законодательными аспектами и нюансами невозможно, однако систематизировать и структурировать процессы обработки, хранения и предоставления данных, во избежание проблем с законом – вполне реально.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    +7 (812) 467-38-62 (Санкт-Петербург)

    Документальное обеспечение при организации защиты персональных данных на предприятии

    При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

    Нормативная база

    Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

    Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

    • частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
    • инструкцию пользователя конфиденциальной информации (п. 13);
    • инструкцию администратора данных (п. 13);
    • журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
    • список (перечень) лиц, которые допущены к обработке (п. 13 (в));
    • электронный журнал обращений (п. 15, 16);
    • приказ с перечнем мест хранения (п. 13).

    Политика предприятия в области защиты персональных данных

    До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

    Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

    Внутренние документы регулируют:

    • общие принципы работы;
    • порядок обработки на бумажных носителях;
    • правила работы в информационных системах;
    • особенности хранения;
    • порядок передачи;
    • инструкция для сотрудников;
    • другие моменты.

    Перечень основных локальных документов

    Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

    • положение об обработке персональных данных (ст. 22);
    • план мероприятий для проведения контроля (ст. 18.1);
    • распорядительный акт о назначении ответственных (ст. 22.1);
    • внесение дополнений в должностные инструкции (ст. 22.1);
    • форма согласия на обработку персональных данных (ст. 6 и 9);
    • форма запроса на доступ (ст. 14);
    • формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).

    Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

    Алгоритм утверждения положения о защите персональных сведений

    Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

    Процесс принятия и внедрения локального акта состоит из нескольких этапов:

    • создание проекта;
    • получение согласования от компетентных специалистов компании;
    • введение в действие путем подписания приказа;
    • доведение документа до сотрудников, которые знакомятся с ним под роспись.

    В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

    Основные разделы Положения

    Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

    • общие сведения;
    • список информации и документов, содержащих данные о гражданах;
    • обязательства нанимателя;
    • процедура предоставления личных сведений;
    • способы и виды работы с информацией о гражданах;
    • оформление доступа к сведениям;
    • защита конфиденциальной информации;
    • права и обязанности субъекта;
    • ответственность должностных лиц и компании.

    Перечень информации, относящейся к персональной

    Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

    • обезличенные – по ним нельзя определить конкретное лицо;
    • общие – первичные и основные;
    • специальные – здоровье, религия, раса, нация и т.д.;
    • биометрические – физиология и биология.

    В перечень входит:

    • фамилия, имя, отчество;
    • число и населенный пункт рождения;
    • адрес проживания;
    • информация о документе, удостоверяющем личность;
    • СНИЛС;
    • ИНН;
    • сведения о дипломах;
    • информация о полученных доходах и оплате труда;
    • семейный статус;
    • другое.

    Методы сбора и защиты ведомостей

    Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.

    Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

    Согласно Закону № 152-ФЗ фирма обязана:

    • определить, кто будет отвечать за организацию процесса обработки личных данных;
    • ввести в работу внутренние документы;
    • обеспечивать безопасное применение и использование;
    • контролировать процесс работы с информацией;
    • предотвращать вред, если будет нарушено законодательство;
    • знакомить с правилами работы граждан, принимаемых по трудовому договору.

    Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

    • реализация правил конфиденциальности;
    • пресечение неразрешенного доступа;
    • выявление фактов незаконного доступа и устранение вреда;
    • организация защиты технических средств;
    • запись резервных копий.

    Назначение ответственных за хранение и обработку

    Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

    • начальник кадрового отдела;
    • инспекторы отдела по работе с персоналом;
    • работники бухгалтерии;
    • специалисты отдела информатизации.

    Как обрабатываются данные?

    Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

    • взятие у гражданина согласия;
    • согласованность с поставленными задачами и целями.

    В процессе обработки информации оператор выполняет следующие действия:

    Нарушения положения и ответственность должностных лиц

    Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

    Административная ответственность (КоАП РФ):

    • ст. 13.11 – нарушение порядка работы с информацией;
    • ст. 13.12 – несоблюдение правил защиты;
    • ст. 13.14 – разглашение сведений;
    • ст. 19.5 – невыполнение предписания контролирующего органа.

    В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

    Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

    Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.

    Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

    Инструкция для работников

    В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

    • безопасного использования различных программ и технических средств;
    • применения логинов и паролей;
    • предоставления доступа;
    • антивирусной защиты;
    • работы с носителями;
    • другие моменты.

    Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

    О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

    Обработка персональных данных: пошаговая инструкция для компаний

    Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

    Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

    Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

    Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

    Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору. Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

    Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

    Разберемся с терминами

    Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

    Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

    Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

    Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

    Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

    При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» — всегда =)

    1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
    2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
    3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

    Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

    Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

    Шаг 1. Инвентаризация

    Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

    Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

    Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

    Шаг 2. Модель угроз и классификация информационных систем

    Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

    Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

    Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

    Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

    Требования к защите персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.

    За основу разработки модели угроз можно взять Базовую модель угроз ФСТЭК России.

    Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

    Шаг 3. Меры защиты персональных данных

    После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

    1. Антивирусная защита
    2. Модули разграничения доступа на уровне прикладных систем или сети.
    1. Назначаем ответственного за защиту персональных данных
    2. Утверждаем перечень обрабатываемых и защищаемых данных.
    3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

    На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

    Согласие на обработку.

    1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях. Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.
    2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется. Подробнее о таких случаях — тут.
    3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

    Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

    Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

    Шаг 4. Отправка уведомления в Роскомнадзор

    Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

    Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

    Чем грозит невыполнение требований по обработке персональных данных

    Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

    Разберем самые распространенные нарушения:

    • Обработка персданных в непредусмотренных законодательством случаях или несовместимая с целями сбора персданных.
    • Обработка персданных без письменного согласия их субъекта.
    • Не опубликованы или недоступны Политика по обработке персданных или сведения по защите персданных.
    • Не предоставлено Уведомление в Роскомнадзор.
    • Нарушение требований о защите персональных данных, установленных ФЗ-152 и подзаконными актами (за исключением информации, составляющей государственную тайну).

    Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

    Выводы

    Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

    Основные нормативные документы, касающиеся обработки персональных данных

    Материал опубликован пользователем.
    Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

    Сразу вопрос который возникнет у большинства владельцев сайтов и тп. При регистрации на сайте (не инет магазин), если человек указывает свои ФИО и телефон. Обязан ли я выполнять требования Роскомнадзора?

    Да, на сайте, где есть форма обратной связи с ФИО и телефоном и (или) электронкой — надо получать согласие на обработку персональных данных и надо опубликовать политику обработки персональных данных.
    Потому что через те данные, которые Вы собираете — можно однозначно идентифицировать человека, соответственно, они относятся к персональным данным.

    Николай,
    решение зависит от состава обрабатываемых данных. В статье мы приводим примеры, что РКН считает персданными, что нет. Но есть и неприятное решение суда в тамбовской области, где за форму обратной связи оштрафовали: http://sudact.ru/regular/doc/TRz3NsNQuVWy/ решений таких не много, но это тревожный звонок. в таком случае, к сожалению да, придется озаботиться выполнением требований фз-152 на сайте.
    если все же остались вопросы, опишите пожалуйста конкретную ситуацию.

    ох чую скоро придется окунуться)
    пока у меня только форма обратной связи — там имя(не полное фио) и телефон — это уже попадос на всю эту историю?) а если +email?(ну тут походу да)

    Телефон — нет, не попадос.
    Имя + телефон — нет, не попадос.
    ФИО + телефон — попадос.
    ФИО + е-mail — попадос.
    Имя + телефон + e-mail — попадос.

    Для номера телефона есть даже разъяснение Роскомнадзора:
    «Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

    Никита, Вы можете какую-то практику предоставить или это Ваше личное мнение? Просьба по возможности прикладывать ссылки или говорить, что это Ваше мнение

    Павел, я рад, что Вы стараетесь изучать правовые вопросы о персональных данных детально!
    Что же, поехали! Надеюсь, что некоторые законные акты Вы сможете погуглить.

    Давайте определим что такое персональные данные. Персональные данные, согласно статье 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    То есть, это данные, которые могут идентифицировать человека и позволить понять кто перед нами — Вася Петров или Иван Иванов.
    При этом законодатель не даёт чёткого разграничения что это такое, а определяет как некую совокупность информации. Есть, конечно Указ Президента РФ от 06.03.97 № 188 (https://zakonbase.ru/content/base/20358), где была дана некая конкретизация, но она в данном случае не очень помогает.
    Но мы-то с Вами сейчас найдём эту грань)

    Так вот, телефон, как было сказано мной выше в комментарии по мнению Роскомнадзора не является персональными данными и это он говорит даже в лице своих территориальных подразделений в ответах на вопросы (к примеру: http://26.rkn.gov.ru/p8926/p10713/ — 5 вопрос, https://57.rkn.gov.ru/p8924/p14069/p14070/), эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь: апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2016 г. по делу N 33-774/2016 или апелляционное определение Московского городского суда от 24 июля 2017 г. N 33-28957/17.
    Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ «О разъяснении норм федерального законодательства» говорит, что: «абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных)».

    То есть, если берём номер телефона или электронную почту — всё окей, нет никаких персональных данных.

    Переходим к имени. Имя не идентифицирует субъекта персональных данных. Вообще никак. Таким образом, персональными данными не является. Или просто фамилия — тоже не подлежит защите как персональные данные (Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14; Определение СК по гражданским делам Приморского краевого суда от 09 сентября 2013 г. по делу N 33-7063 (тут суд даже сказал, что «в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума»); обзор обращений граждан за II квартал 2012 года Управление Роскомнадзора по Республике Карелия рассмотрело вопрос, являются ли фамилия и инициалы гражданина персональными данными).

    Телефон + имя — не позволят определить Вам однозначно и безошибочно (что является критерием персональных данных) человека.
    А вот, если добавить к телефону или электронке немного больше данных, к примеру, ФИО — всё, персональные данные готовы и подлежат защите.

    Так что, да, это моё личное мнение, основанное на правоприменительной практике и требованиях законодательства 😉

    Персональные данные: защита без нападений. Часть 2

    Тем, кто не ознакомился с первой частью материала, рекомендуем предварительно прочитать её.

    Пошаговая инструкция для владельца сайта по защите персональных данных

    1. Составьте список всех форм, в которых вы собираете персональные данные и укажите какие именно данные, для какой цели
    2. Под каждой такой формой поставьте чек-бокс (место для проставления «галочки») с текстом: «Даю согласие на обработку своих персональных данных» или более развернутый вариант: «Даю согласие на обработку своих персональных данных на условиях и для целей, определенных в Согласии на обработку персональных данных», с указание гиперссылки на текст такого согласия. Ещё более продвинутый вариант: «Нажимая на кнопку „Отправить“, я даю свое согласие на обработку персональных данных и принимаю условия Пользовательского соглашения». В последнем случае вы заключаете договор с каждым пользователем, а в Пользовательском соглашении должны содержаться условия согласия на обработку ПДн и все остальные цели и условия работы сайты и обработки ПДн.
    3. Подготовьте и разместите на сайте документа с условиями обработки ПДн, коим может быть Согласие или часть Пользовательского соглашения, а равно оно может быть частью Политики обработки ПДн. Укажите в нём следующую информацию согласно ст. 9 Федерального закона № 152-ФЗ:

      наименование организации или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

      цель обработки ПДн;

      перечень ПДн, на обработку которых субъект дает согласие;

      наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

      перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

      срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);

      подпись субъекта ПДн.

      Закон требуется указывать в согласии ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, но на это требование в онлайне в отличии от оффлайна часто закрывают глаза.

    4. Подготовьте и разместите в свободном доступе Политику в отношении обработки персональных данных и разместите её на сайте в свободном доступе.
    5. Подайте до начала обработки ПДн уведомление об обработке ПДн в Управление Роскомнадзора, где зарегистрирована ваша компания, ИП или вы как физическое лицо. Уведомление подаётся в электронном и бумажном виде, и представляет собой объемный документ, который самостоятельно без соответствующих знаний заполнить правильно достаточно сложно.
    6. Не стоит забывать, что это лишь видимая часть тех документов, которые должны быть у любого оператора персональных данных и не стоит ограничиваться только указанным выше.

      Разграничение доступа

      Закон о персональных данных обязывается разграничивать доступ к разным видам ПДн, что делается в целях соблюдения конфиденциальности. Достигается это распределением среди сотрудников прав доступа к определённым группам и категориям ПДн.

      За редким исключением (когда используется онлайн-бухгалтерия) бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.

      Но работодатель (оператор ПДн) может разрешить доступ к ПДн работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных обязанностей работника. Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (приказ о разграничении доступа), с указанием критериев необходимых персональных данных, аналогичным образом надо поступить и с ПДн клиентов и иных лиц.

      К примеру, в медицинской организации доступ к состоянию здоровья пациента у медицинской сестры, сотрудника регистратуры и лечащего врача очевидно должен быть разным. В ИТ-компании дизайнеры не обязательно должны иметь доступ к базе данных (БД) клиентов, которые оставляют заявки на сайте их продукта, или тем более к БД, содержащей сведения о покупателях интернет-магазина, который поддерживает их работодатель для стороннего заказчика.

      Одним из основных принципов обработки ПДн является постановка заранее определенных конкретных целей обработки ПДн, что предполагает, что вы не должны собирать их избыточное количество и должны всегда быть готовы предоставить обоснование необходимости их обработки, которое в общем виде должно быть сформировано в Политике обработке ПДн каждого оператора.

      Персональные данные работников

      Трудовой Кодекс РФ вводит дополнительные особенности обработки и хранения ПДн:

      Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На первый взгляд может показаться, что ПДн работников в рекламных и маркетинговых целях использовать нельзя, однако это не так.

      Все персональные данные работника следует получать у него самого. Если это невозможно, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

      Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

      Работодатель не имеет права получать и обрабатывать специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), за исключением особых случаев, указанных в законе. Аналогично и в отношении членства в общественных объединениях или профсоюзной деятельности

      При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

      Работники должны быть ознакомлены с Политикой обработки ПДн и иные документами в этой сфере.

      Ситуация: для выдачи зарплатных карт нужно получать согласие работников на передачу их конкретных ПДн (обычно ФИО, адрес, дата и место рождения) в банк и перед этим в обязательном порядке подать уведомление в Роскомнадзор, т.к. с точки зрения законодательства «это выходит за пределы трудовых отношений».

      Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?

      Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:

      получены от работников;

      получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;

      являются общедоступными ПДн;

      включают только ФИО субъектов ПДн;

      нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;

      включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

      обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

      Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление. На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией. Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм. Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое. Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.

      Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте. При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг. Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.

      Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору.

      Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

      • обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
      • используете специализированные компьютерные программы для обработки сведений о работниках;
      • применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.

      Исключение при дистанционной торговле связано с тем, что заключая договор купли-продажи через интернет (дистанционно) покупатель передает магазину (оператору) свои данные исключительно с целью осуществления покупки, её выдачи или доставки (Информация Роскомнадзора от 08.11.2017). В этой связи возникает необходимость в обязательном порядке иметь оферту или правильнее — Пользовательское соглашение, которое по сути и будет являться договором купли-продажи, определять все «правила игры» между покупателем и интернет-магазином. Обычно в такое Пользовательское соглашение включаются условия о возможности рассылки рекламных и иных сообщений, право магазина предоставлять ПДн клиента в целях доставки товара, а также определяются иные цели использования ПДн клиента. В противном случае интернет-магазин может лишь отправить товар клиенту, но под вопросом остаётся даже возможность передать товар в службу доставки, если она является отдельным юридическим лицом, а не самим магазином

      В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.

      Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:

      Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в определении от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.

      Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.

      Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).

      Заблаговременное размещение графических иили текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения иили организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.

      Защита персональных данных в организациях

      zashchita_personalnyh_dannyh_v_organizaciyah.jpg

      Похожие публикации

      Система защиты персональных данных в организации – это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством. Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк (ст. 3 закона «О персональных данных» № 152-ФЗ от 27.07.2006). Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность. Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

      Защита персональных данных в организациях: закон

      Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.

      Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма. Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

      Трудовым кодексом РФ – ст. 86-90;

      Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. 18.1, 19, 22.1;

      Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;

      Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № 21 от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.

      Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством (п.1 и п.2 ст. 13.11 КоАП РФ).

      Внутренние документы по защите персональных данных в организации

      Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

      Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);

      Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);

      Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;

      Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);

      Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.

      Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям. Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. 22 закона «О персональных данных»). Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д.

      Защита персональных данных в организации: пошаговая инструкция

      Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

      Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.

      Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

      Разработать Положение о персональных данных, включив раздел об их защите.

      Назначить сотрудника, который будет отвечать за работу с ПД.

      Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.

      Подготовить образцы расписок о неразглашении ПД.

      Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

      Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.

      Читайте также:  Программа вводного инструктажа по охране труда
      Ссылка на основную публикацию