Персональные данные: как правильно организовать обработку и избежать нарушений

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: как правильно организовать обработку и избежать нарушений». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Чеклист: как компании защитить ПДн по закону

1. Обязательно изучить и соблюдать все 7 принципов обработки персональных данных, согласно статье 5 152-ФЗ.

2. Предпринять все организационные и технологические меры для обеспечения необходимого и достаточного уровня защищённости данных. 4-й уровень защищённости оптимальный по затратам, но необходимо исходить из обработки ПДн, их количества и типов угроз, а не стремления к наиболее экономичному уровню защищённости.

3. Выбрать вариант проверки качества защиты персональных данных — акт оценки эффективности или аттестация. На основе этого выбрать СЗИ.

4. Выстроить в компании постоянный процесс по соответствию законодательству, чтобы проходить проверки Роскомнадзора (особенно это актуально для крупных и средних компаний).

5. Если пользуетесь хостингами, при их выборе ориентироваться на два правила: серверы провайдера должны быть в РФ, сам провайдер должен быть аттестован по защите информации.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

• если персональные данные включены в государственные защищенные информсистемы;

• если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);

• если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

• получение (сбор персональных данных);
• структуризация;
• хранение на любых носителях (в электронных и бумажных архивах);
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание – устранение очевидной связи между человеком и его ПД;
• блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Защита персональной информации, полученной из анкет

Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:

• любая такая анкета должна включать сведения о сроке ее рассмотрения;
• нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
• в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
• у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.

Рекомендации по формированию согласия на обработку персональной информации

Госорганы дают следующие рекомендации:

• В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
• Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
• Согласие на обработку персональной информации должно соответствовать требованиям законодательства.

Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:

• Обеспечение защиты персональных данных в соответствии законодательством РФ;
• Введение режима коммерческой тайны, защита служебной тайны;
• Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
• Аттестация рабочих мест и помещений;
• Консалтинг при получении лицензий ФСТЭК и ФСБ.

Категории персональных данных

Персональные данные делятся на категории:

• общая;
• специальная;
• биометрические данные;
• обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

• отпечатки пальцев;
• ДНК;
• сканирование сетчатки;
• распознавание радужки.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

• допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
• назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
• создание списка документации, в которой содержатся ПД;
• выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
• ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
• периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
• рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
• создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
• формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
• описание процедуры удаления неиспользуемой информации;
• своевременное выявление и устранение нарушений норм защиты ПД;
• проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

• пропускной режим;
• соблюдение установленных правил приема посетителей и их учета;
• использование приборов для охраны;
• программная защита данных.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

— из документов, предъявляемых при заключении трудового договора;
— по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
— в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
— от кадрового агентства, действующего от имени соискателя;
— из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

— цели получения персональных данных работника у третьего лица;
— предполагаемые источники данных (у кого будет запрашиваться информация);
— способы получения данных, их характер;
— возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Органы власти и их полномочия

Основной уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связей и информационных технологий и массовых коммуникаций, Роскомнадзор. Все про нее слышали. Функций у них много. Они раздают радиочастоты, они контролируют СМИ, блокируют сайты с вредоносным контентом. Роскомнадзор – основная служба, которая защищает нас с вами как субъектов персональных данных, следит за тем, чтобы наши с вами права не нарушались и, соответственно, применяет меры к тем, кто эти права нарушает.

Полномочия Федеральной службы по техническому экспортному контролю (ФСТЭК) связаны с технической защитой информации. Мы с этой службой почти не сталкиваемся. Работа Федеральной службы безопасности (ФСБ), которая курирует все вопросы, связанные с применением шифрования при защите информации, тоже нас практически не касается. Определенные полномочия есть еще у Государственных инспекций труда (ГИТ) – наши с вами обязанности по хранению и защите персональных данных работников закреплены в трудовом кодексе. И если кто-то из наших работников пожалуется, что его права нарушаются работодателем, здесь уже вступает в действие инспекция труда, которая также курирует эти вопросы. Ну, и естественно, органы прокуратуры – «око государево», которое следит за соблюдением законов в целом. В органы прокуратуры, как правило, поступают все жалобы – обычные граждане, в основном не знают, что такое Роскомнадзор и что именно эта служба защищает наши права в сфере персональных данных. Граждане, если считают, что их права нарушены, первым делом идут, конечно, к прокурору. И прокурор уже должен эти материалы направлять в ведомства. Но прокуратура на практике, к сожалению, сама пытается в этом деле разобраться. Они подключают, зачастую, управление Роскомнадзора, и бывают казусы потому, что это не совсем их специфика. Точнее, органы прокуратуры не настолько погружены в эту сферу.

Не храните копии паспортов

Что касается копии паспорта, очень важный момент, пока не забыл. Состоялось уже несколько решений судов, которые говорят даже о том, что в личных делах работников организации, штатных сотрудников не должны храниться копии паспортов, потому что это является избыточным. Сведения из паспорта заносятся в личные дела. Грубо говоря, выписываются из паспорта, переписываются в личные дела. Но сама копия паспорта, это уже избыточная обработка персональных данных. Повторюсь, состоялось несколько решений суда, причем в апелляции они были подтверждены. То есть, это уже сложившаяся практика.

Бухгалтерия у нас, как правило, занимается кадровым учетом. В некоммерческой организации иметь кадрового сотрудника – большая роскошь. Они всегда очень удивляются, как это — нельзя хранить копию паспорта в личных делах сотрудников. Вот, судебная практика идет по тому пути, что нельзя. Поэтому всегда рекомендую в отношении обработки персональных данных – возвращайтесь к цели обработки, всегда соотносите обработку с целью, для которой эти персональные данные получались.

Более того, если они были получены для одной цели, их нельзя использовать для достижения других целей. То есть, грубо говоря, если человек давал вам персональные данные для заключения с ним договора оказания добровольческой деятельности, осуществления добровольческой деятельности, и вы ему, может быть, компенсировали какие-то затраты проезда, проживания, питания и так далее, то его персональные данные нельзя использовать в других целях. То есть, если он не давал согласия на публикацию его персональных данных, вы не можете без его согласия, например, на сайте своем вывесить ему большую благодарность за то, что он так хорошо проявлял себя, осуществлял у вас добровольческую деятельность. И так далее. Все должно быть прописано в том согласии, которое мы получаем от субъекта персональных данных.

Похожие записи:

• Памятка для родителей новорожденного
• Нотариальные услуги в Тольятти, с выездом к заказчику
• Способы начисления амортизации основных средств