Защита персональных данных в организации пошаговая инструкция 2022


Автор: Алексей Залецкий

Зачем нужно защищать персональные данные

В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации. 

Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок.  Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна  приостановка деятельности юридического лица до устранения несоответствий.

Защита персональных данных: пошаговый план

Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом  этого этапа должен стать аналитический отчёт с указанием несоответствий закону. 

Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей  статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.

Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.

Разработать Модель угроз для вашей ИСПДн.

Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:

  • средства защиты от несанкционированного доступа, включая средства доверенной загрузки;

  • средства антивирусной защиты;

  • средства анализа защищённости;

  • система обнаружения вторжений;

  • межсетевой экран;

  • ряд других СЗИ.

Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги. 

Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.

Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию.  Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.

Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.

Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.

После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки. 

Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.

Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.

Хостинг ИСПДн с соблюдением требований законодательства.

Источник

Что меняется в законе о персональных данных

Внимание! В последний момент Роскомнадзор сообщил, что 1 сентября 2022 года не является крайним сроком подачи уведомления об обработке персональных данных.

Раньше многих предпринимателей закон о персональных данных не касался. Они могли обрабатывать персональные данные и не уведомлять Роскомнадзор в таких ситуациях:

  • обработка персональных данных по трудовому законодательству;
  • получение личной информации с согласия субъекта персональных данных только для исполнения заключённого с ним договора;
  • обработка персональных участников религиозных организаций или общественных объединений;
  • распространение личной информации с согласия субъекта персональных данных;
  • обработка персональных данных, состоящих только из Ф.И.О.;
  • получение информации для оформления разового пропуска на территорию оператора персональных данных.

С 1 сентября 2022 года этих ситуаций в перечня в п. 2 ст. 22 закона от 27.07.2006 № 152-ФЗ не будет, а значит операторы персональных данных (ОПД), чья деятельность до 1 сентября 2022 года попадала под эти исключения, должны сообщить в Роскомнадзор о намерении обрабатывать персональные данные. Это коснётся, например, всех работодателей, организаций с пропускным режимом, торговых предприятий со службами доставки.

Пример 1

У ИП работает два сотрудника. Он делает кадровые приказы, ведёт отчётность на компьютере, то есть с использованием средств автоматизации. ИП не сообщал в Роскомнадзор о начале обработки персональных данных сотрудников, поскольку это было необязательно по п. 2 ст. 22 152-ФЗ. С 1 сентября 2022 года он должен направить уведомление.

Перечень персональных данных в 152-ФЗ открытый, то есть к ним относится любая личная информация, которая позволяет определить конкретное лицо — субъекта персональных данных. Это могут быть фамилия, ИНН, адрес страницы в соцсетях, номер телефона и прочее. Если предприниматель собирает любую личную информацию о своих работниках или клиентах, даже просто имя и телефон для записи на услугу, он уже считается оператором персональных данных.

К ОПД относятся физические лица, юрлица, государственные и муниципальные органы, которые осуществляют обработку персональных данных: сбор, запись, накопление, хранение, предоставление и другие действия. Иностранные граждане и компании, которые работают с данными российских граждан, тоже подпадают под действие закона. Микропредприятия, СОНКО, общественные объединения также относятся к операторам персональных данных со всеми вытекающими из этого обязанностями.

Закон о персональных данных не распространяется на обработку информации для личных и семейных нужд, гостайну и ведение Архивного фонда — п. 2 ст. 1 закона 152-ФЗ.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Получите бесплатно 62 страницы экспертного контента!

Оставьте заявку в форме ниже, и мы вышлем вам запись.

Как подать уведомление в Роскомнадзор

Направить сведения можно тремя способами.

  1. Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
  2. Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
  3. Подать уведомление через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учётная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.

Действующие операторы персональных данных должны отправить уведомление до сентября 2022 года. Новые ОПД — до начала обработки персональных данных. Сведения проверят в течение 30 дней и внесут предпринимателя в реестр операторов.

Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.

Постановка на учёт в реестре — разовая акция. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.

Как заполнить уведомление

Удобно заполнить форму на сайте Роскомнадзора, потому что по каждой графе там есть всплывающие подсказки.

Также вам помогут Методические рекомендации, утверждённые приказом Роскомнадзора от 30.05.2017 № 94, и наш образец заполненного уведомления.

Если у вас возникают трудности с уведомлением, можно подсмотреть, как это делают крупные компании. Все данные в реестре открыты, кроме способов защиты персональных данных. Найдите в реестре операторов компанию, которой доверяете и посмотрите, какие сведения о себе она указывала для Роскомнадзора.

С 1 сентября 2022 года в уведомлении нужно будет указывать больше информации. Так по каждой цели обработки персональных данных придётся указывать:

  • категории персональных данных;
  • категории субъекта персональных данных;
  • правовое основание обработки;
  • перечень действий с персональными данными;
  • способы обработки.

До 1 сентября операторы заполняют старую форму, а после утверждения нового бланка нужно ещё отправить информационное письмо о внесении изменений в реестр. Такой порядок действий рекомендует Роскомнадзор в письме от 19.08.2022 № 08-75348.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Кто может не отправлять уведомление

С 1 сентября 2022 года можно не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх ситуациях:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка — например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
  • обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
  • персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.

Согласно постановлению от 15.08.2008 № 687 обработка персональных данных без средств автоматизации — это использование, уточнение, распространение и уничтожение персональных данных при непосредственном участии человека.

Пример 2

Обработка без средств автоматизации:

  • распечатали или скопировали пустой бланк согласия на обработку персональных данных, а человек заполнил его от руки;
  • ведёте журнал учёта посетителей на вахте вручную;
  • передали документ лично сотруднику.

Автоматизированная обработка:

  • отсканировали заполненный бланк согласия на обработку персональных данных;
  • отправили фамилию и ИНН работника по e-mail.

Как видите, мало кто попадает под исключения, поэтому уведомление должны отправлять практически все. Разве что ИП не нанимает сотрудников, совсем не работает с гражданами или записывает всех своих клиентов ручкой в тетрадь, приказы пишет от руки и отчётность тоже заполняет вручную. Такой предприниматель уведомлять Роскомнадзор не должен.

Даже если все персональные данные вы обрабатываете вручную, но отчётность за вас сдаёт бухгалтерия на аутсорсинге — уведомлять Роскомнадзор нужно, поскольку в этом случае есть обработка личной информации с использованием средств автоматизации. И учитывайте, что передавать персональные данные третьим лицам можно только с согласия субъекта персональных данных. Это дополнительная обязанность оператора — получать согласие. Разъяснения по такой ситуации дал Роскомнадзор в письме от 21.03.2022 № 08-20152.

Что делать тем, кто уже есть в реестре РКН

Если раньше вы уже сообщали в Роскомнадзор о намерении обрабатывать персональные данные, повторно заполнять и отправлять форму не нужно. Для надёжности проверьте по ИНН, что вы есть в реестре операторов.

Но посмотрите, какие цели обработки персональных данных вы указывали. Возможно, это было оказание услуг клиентам, а своих сотрудников как субъектов персональных данных вы не записали. С 1 сентября 2022 года появляется обязанность уведомлять Роскомнадзор при ведении кадрового делопроизводства, бухгалтерского учёта в отношении работников, заключении и расторжении трудовых договоров.

В этом случае в течение 10 рабочих дней после вступления в силу нового закона, нужно проинформировать Роскомнадзор о внесении изменений в реестр. Информационное письмо заполняют на сайте ведомства, а отправить его можно теми же способами, что и уведомление:

  • по почте или отнести лично подписанный бумажный вариант в территориальное управление;
  • через сайт Роскомнадзора;
  • через портал Госуслуг.

Если изменения произошли уже после 1 сентября, информационное письмо нужно отправить в течение 10 рабочих дней после этого.

Что будет за нарушения

Ответственность может быть административной, уголовной и гражданской.

Если не отправить уведомление или не проинформировать Роскомнадзор об изменениях, штраф по ст. 19.7 КоАП РФ составит до 5000 рублей. За нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП, и от 60 000 рублей — для организаций.

Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.

Также ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника. Например, если сотрудник возмутится, что его данные хранятся у оператора, которого нет в государственном реестре.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Источник

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Источник

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как поступить при утечке данных

Если работодатель установит факт случайной или неправомерной передачи, предоставление и распространение ПД, он должен в установленном порядке сообщить об этом в Роскомнадзор (ч. 3.1 ст. 21Закона № 152-ФЗ):

  • в течение 24 часов — о выявленных инцидентах, предполагаемых причинах и возможном вреде;
  • в течение 72 часов — о результатах внутреннего расследования внутреннего инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Источник

Все организации работают с персональными данными. Даже если нет базы клиентов – физических лиц, то есть база сотрудников. Соответственно, все работодатели являются операторами персональных данных и должны соблюдать требования к сбору, хранению, обработке и уничтожению персональных данных в соответствии с требованиями, указанными в Законе 152-ФЗ и в главе 14 ТК РФ.    

Как соблюсти все требования к защите персональных данных работников в своей статье рассказывает эксперт «Что делать Консалт». Также она дает полный разбор мер, которые обязан предпринять работодатель, чтобы защитить персональные данные работников с учётом всех требований законодательства.

Определить цель обработки

В законе указаны принципы работы с персональными данными, среди которых целевой характер обработки. Цель необходимо определить в первую очередь, ещё до начала обработки. Именно такую цель нужно указывать в документах по персональным данным. Вокруг цели складывается порядок действий по работе с персональными данными. За обработку персональных данных, не совместимых с целями обработки, возможно привлечение к ответственности. Штраф по ч. 1 ст. 13.11 КоАП РФ для организации от 60 000 до 100 000 рублей.

В рамках трудового законодательства выделяют следующие цели обработки:

  • ведение кадрового делопроизводства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
  • привлечение и отбор кандидатов на работу у оператора;
  • организация постановки на индивидуальный (персонифицированный) учёт работников в системе обязательного пенсионного страхования;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчётности;
  • ведение бухгалтерского учёта.

Целей обработки у оператора может быть несколько, при этом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ст. 5 Закона 152-ФЗ). Если организация обрабатывает персональные данные не только сотрудников, но и клиентов, то объединять эти базы нельзя.

Разработать документы по защите персональных данных

Закон не содержит чёткого перечня документов, которые должны быть у оператора персональных данных. Рекомендуем разработать следующие документы.

  1. Политика в отношении обработки персональных данных. Это самый главный документ, который устанавливает категории, цели, способы обработки, порядок хранения и использования. Роскомнадзором разработаны рекомендации по составлению этого документа (Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»). В законе нет ответа на вопрос, необходимо ли составлять политику об обработке персональных данных сотрудников отдельно или можно утвердить один документ и включить в него все категории персональных данных, которые обрабатываются в организации. Вы можете выбрать любой вариант. Обратите внимание, политика в отношении обработки персональных данных работников является обязательным локальным нормативным актом организации, и сотрудники должны быть ознакомлены с ней под подпись (п. 8 ст. 86 ТК РФ).

Формы и образцы заполнения политики в отношении обработки персональных данных вы можете найти в справочно-правовой системе КонсультантПлюс:

Форма: Политика оператора в отношении обработки персональных данных (образец заполнения) (КонсультантПлюс, 2022) {КонсультантПлюс}

Форма: Положение (политика) о персональных данных работников организации (Подготовлена для системы КонсультантПлюс, 2022) {КонсультантПлюс}

  1. Приказ о назначении ответственного за организацию обработки персональных данных. Это следует из ч. 1 ст. 22.1 Закона 152-ФЗ. Закон не устанавливает требований к должности работника. Им может быть любой сотрудник организации.
  2. Приказ об утверждении перечня работников, имеющих доступ к персональным данным.
  3. Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным.

Обратите внимание на документы, которые касаются лиц, имеющих доступ к персональным данным. Это очень важно. В первую очередь это поможет избежать ответственности за нарушение законодательства. Если таких документов нет, то получается, что вы передали информацию третьим лицам без согласия. За такие действия возможен штраф по ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 150 000 рублей. Кроме того, это поможет привлечь к ответственности лиц в случае разглашения такой информации.

Можно разработать и другие документы, например регламенты по работе с персональными данными или журналы учёта.

консультант плюс 30 лет

Готовые решения СПС КонсультантПлюс подскажут, как действовать в конкретной ситуации: пошаговые инструкции, образцы документов, ссылки на правовые акты.

подробнее

Опубликовать политику ПД

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

  • опубликовать политику на сайте организации;
  • разместить на информационном стенде в офисе.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст. 86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ. Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности. Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей. 

консультант плюс 30 лет

Уникальный инструмент «Перспективы и риски арбитражных споров» СПС КонсультантПлюс поможет одержать победу в судебном споре.

подробнее

Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.

В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.

Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки. Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ. При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.

Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов. Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст. 19.7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Если вы подаёте уведомление в бумажной форме, то необходимо придерживаться рекомендаций по заполнению, указанных в п. 3.1 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94. Сама форма приведена в приложении 1 к указанным рекомендациям.

Вы можете подать документ в электронном виде. Форма документа и порядок её заполнения размещены на портале Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/, п. 3.2 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94). 

Если сведения, которые вы подавали, изменились или обработка персональных данных прекращена, то необходимо уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона 152-ФЗ).

Получить согласие на обработку персональных данных

Обрабатывать персональные данные без согласия субъекта нельзя. Это следует из п. 1 ч. 1 ст. 6 Закона 152-ФЗ. Соответственно, перед началом обработки необходимо получить согласие субъекта.

Законодательство допускает включить согласие на обработку персональных данных в трудовой договор, заключаемый по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 № 858). Такую форму вправе использовать микропредприятия и некоммерческие организации, которые соответствуют требованиям, указанным в ст. 309.1 ТК РФ. В форме прямо предусмотрено соответствующее положение. Типовой трудовой договор заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях рекомендуем получать согласие отдельным документом. Включение такого условия в трудовой договор сопряжено определёнными рисками. Например, суд или контролирующий орган может посчитать, что согласие было дано вынуждено и оно не соответствует требованиям, указанным в ст. 9 закона 152-ФЗ. Кроме того, если работник отзывает согласие на обработку персональных данных, которое включено в трудовой договор, то необходимо оформлять дополнительное соглашение, поскольку изменились условия, отражённые в документе.

Образец согласия на обработку персональных данных работника вы можете найти в справочно-правовой системе КонсультантПлюс.

Форма: Согласие работника на обработку персональных данных (образец заполнения) (Подготовлена специалистами КонсультантПлюс, 2022)

консультант плюс 30 лет

С помощью СПС КонсультантПлюс вы будете легко ориентироваться в законодательстве, вовремя отслеживать все изменения.

подробнее

Согласие на распространение персональных данных

Если планируется не только обрабатывать, но и распространять данные субъектов, то на такие действия необходимо получать отдельное согласие. Такое согласие может понадобиться, если, например, публикуется информация о сотрудниках на сайте организации.

Эти требования появились в 2021 году (ст. 10.1 Закона 152-ФЗ). Согласие на обработку персональных данных, разрешённых для распространения, получается отдельно от иных согласий. Если работник подписал согласие на обработку персональных данных, но не дал согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо. Субъект самостоятельно выбирает, какую информацию о себе разрешает распространять. Например, он может предоставить для обработки Ф.И.О., дату рождения, СНИЛС, сведения об образовании, а дать разрешение на распространения только на Ф.И.О. и сведения об образовании.

Согласие на распространение может быть предоставлено оператору следующими способами (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • непосредственно на бумаге с личной подписью;
  • через информационную систему Роскомнадзора.

К такому согласию применяются особые требования, указанные в Приказе Роскомнадзора от 24.02.2021 № 18. На портале Роскомндзора функционирует интернет-сервис для подготовки формы такого согласия (https://pd.rkn.gov.ru/soglasiya/maket/).

Хранить в соответствии с законодательством

При хранении персональных данных вы должны принять правовые, организационные и технические меры, чтобы не допустить любые противоправные действия в отношении этих данных, например утечку, кражу, незаконное распространение (ст. 19 Закона 152-ФЗ). 

Закон предъявляет ряд требований к порядку хранения:

  • срок хранения ‒ сколько достаточно для обработки;
  • при хранении должна быть возможность определить субъект;
  • в ходе хранения должна происходить актуализация сведений. Если информации недостаточно или она неточная, то персональные данные необходимо удалить;
  • по каждой цели обработки должна быть отдельная база. Объединять нельзя. Например, базы данных работников и клиентов;
  • после обработки информацию нужно уничтожить или обезличить.

Можно обрабатывать данные с помощью средств автоматизации (базы данных) или без их использования (на бумаге). Это следует из п. 3 ст. 3 Закона 152-ФЗ.

Обращаем внимание, при автоматизированной обработке необходимо использовать только те базы, которые находятся в России. Это касается также сбора сведений через интернет (ч. 5 ст. 18 Закона 152-ФЗ). В случае использования баз данных, находящихся на территории других государств оператор может быть привлечён к административной ответственности. Штраф по ч. 8 ст. 13.11 КоАП РФ от 1 000 000 до 6 000 000 рублей.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам, указанным в ст. 12 Закона 152-ФЗ.

Уничтожить в соответствии с требованиями закона   

Персональные данные работников уничтожаются в следующих случаях:

  • Достигнута цель обработки (п. 4 ст. 21 Закона 152-ФЗ). В отношении работника цели определяются требованиями трудового законодательства, при этом на момент увольнения цель обработки ещё не достигнута, поскольку на работодателе остаются обязанности по сдачи отчётности, кроме того, в законе указаны сроки хранения кадровых документов. Когда цель достигнута, то персональные данные подлежат удалению. Срок уничтожения ‒ 30 дней с даты достижения цели обработки.
  • Субъект отозвал согласие на обработку (п. 5 ст. 21 Закона 152-ФЗ). Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона 152-ФЗ). В данной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в пп. 211 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона 152-ФЗ. Например, для исполнения обязанностей, возложенных на него по закону: выплата заработной платы, сдача отчётности, хранение кадровых документов. Это следует из ч. 2 ст. 9 Закона 152-ФЗ. Соответственно, после отзыва согласия работника вы можете продолжить обработку данных для исполнения ваших обязанностей как работодателя. Те данные, которые не нужны для исполнения таких обязанностей, вы должны удалить. Срок уничтожения ‒ 30 дней с даты отзыва согласия.

Закон не предусматривает требований к удалению персональных данных, но вы должны иметь возможность подтвердить этот факт. Рекомендуем создать комиссию, составить акт или иным образом зафиксировать удаление. Формы документов утверждаются оператором (<Информация> Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Итак, в работе с персональными данными работников много сложностей. Необходимо составить ряд документов, получить согласие, обеспечить надёжное хранение. Подробные инструкции, формы и образцы заполнения документов вы можете найти в справочно-правовой системе КонсультантПлюс.

Путеводитель по кадровым вопросам. Персональные данные работников {КонсультантПлюс}

Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2022) {КонсультантПлюс}

Готовое решение: Какие меры по защите персональных данных работников должны предприниматься при обработке этих данных (КонсультантПлюс, 2022) {КонсультантПлюс}

С помощью СПС КонсультантПлюс вы сможете уверенно взаимодействовать с надзорными органами, органами государственной и муниципальной власти.

Вопрос

Может ли работодатель в личном деле сотрудника хранить не только персональные данные в виде информации, но и копии его личных документов (паспорт, СНИЛС, ИНН и др.)?

Ответ

По данному вопросу есть две точки зрения.

Согласно разъяснениям Роструда работодатель может хранить копии документов в личном деле, если работник дал согласие на хранение и обработку персональных данных (Доклад с руководством по соблюдению обязательных требований, дающих разъяснение, какое поведение является правомерным, а также разъяснение новых требований нормативных правовых актов за II квартал 2017 г. (утв. Рострудом)).

Роскомнадзор придерживается противоположной позиции. По мнению ведомства такое хранение является обработкой персональных данных, избыточных по отношению к заявленным целям обработки, что нарушает ч. 5 ст. 5 Закона 152 ФЗ. Если в ходе проверки выявится, что организация хранит копии личных документов сотрудника, то она может быть привлечена к ответственности (ч. 12.1 ст. 13.11 КоАП РФ).

Позиция Роскомнадзора подтверждается судебной практикой: Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013, Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013. Согласно позиций судов хранение копий паспорта, страниц военного билета, свидетельства о заключении брака, свидетельства о рождении ребёнка на рабочем месте превышает объём обрабатываемых персональных данных работника, что действующим законодательством не предусмотрено, а также нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит федеральному законодательству.

В связи с тем что позиция по данному вопросу неоднозначна, для исключения возможных претензий к работодателю, а также риска административной ответственности по ст. 13.11 КоАП РФ не рекомендуем хранить копии личных документов работника.

Смотрите по этой теме видео на нашем YouTube-канале

Свидетельство о регистрации СМИ: Эл № ФС77-67462 от 18 октября 2016 г.
Контакты редакции: +7 (495) 784-73-75, smi@4dk.ru

Источник

Понравилась статья? Поделить с друзьями:
  • Защита от сорняков граунд инструкция по применению
  • Защита от солнца на окна в квартире своими руками пошаговая инструкция
  • Защита от протечек equation инструкция
  • Защита от насекомых вредителей искра двойной эффект инструкция
  • Защита от комаров раптор инструкция по применению