Пошаговая инструкция: защита персональных данных в 2022 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Пошаговая инструкция: защита персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Какие меры необходимо предпринять по защите персональных данных сотрудников?
2. Согласие работника на обработку персональных данных
3. Основные этапы защиты ПДн
4. В какие сроки и по какой форме подать уведомление
5. Защита персональной информации, полученной из анкет
6. Рекомендации по формированию согласия на обработку персональной информации
7. Организация защиты персональных данных
8. Хранение личных данных – законодательное регулирование
9. Передача персональных данных
10. Оператор по обработке персональных данных
11. Административная ответственность
12. Чек-лист для бизнеса: что нужно сделать
13. У обработки данных должна быть цель

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Основные этапы защиты ПДн

    Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

    1. обследование;

    2. моделирование угроз;

    3. разработка технического задания;

    4. проектирование системы защиты;

    5. реализация технической части системы защиты;

    6. реализация организационных мер;

    7. оценка эффективности принятых мер;

    8. аттестация;

    9. поддержание необходимого уровня защиты в процессе эксплуатации.

    В какие сроки и по какой форме подать уведомление

    Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

    В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).

    Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

    • на бумаге заказным письмом через Почту России;

    • в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;

    • в электронном виде через ЕСИА.

    • Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
    • Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
    • Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
    Читайте также:  Является ли отсутствие регистрации дома уклонением от налогов

    Защита персональной информации, полученной из анкет

    Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:

    • любая такая анкета должна включать сведения о сроке ее рассмотрения;
    • нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
    • в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
    • у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.

    Рекомендации по формированию согласия на обработку персональной информации

    Госорганы дают следующие рекомендации:

    • В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
    • Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
    • Согласие на обработку персональной информации должно соответствовать требованиям законодательства.

    Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:

    • Обеспечение защиты персональных данных в соответствии законодательством РФ;
    • Введение режима коммерческой тайны, защита служебной тайны;
    • Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
    • Аттестация рабочих мест и помещений;
    • Консалтинг при получении лицензий ФСТЭК и ФСБ.
    • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
    • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
    • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

    Чтобы соблюдать 152-ФЗ, как минимум, надо:

    • зарегистрироваться как оператор ПД,
    • составить политику обработки ПД и согласие на обработку персональных данных,
    • повесить на сайт уведомление о сборе метаданных;

    Организация защиты персональных данных

    Для защиты персональных данных применяют различные возможности:

    1. Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

      Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

    2. Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
    3. Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.

    Хранение личных данных – законодательное регулирование

    Отношения, связанные с обработкой персональных данных, регулируются:

    — федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
    — главой 14 Трудового кодекса РФ.

    Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

    Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

    Передача персональных данных

    В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

    — даты выдачи и возврата документа,
    — наименование документа,
    — срок пользования,
    — цель выдачи,
    — Ф.И.О. и должность лица, получившего документ с персональными данными работника.

    Читайте также:  Налоговый вычет на лечение

    Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

    Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

    Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

    Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

    Оператор по обработке персональных данных

    Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

    Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

    • сбор;
    • запись;
    • систематизация;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передача (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение персональных данных.

    Административная ответственность

    Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

    Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

    Нарушение Ответственность Норма
    законодательства
    Нарушение установленного законом
    порядка сбора, хранения,
    использования или распространения
    информации о гражданах
    (персональных данных)    		 Для должностных лиц:
    от 500 до 1000 руб.;
    для юридических лиц:
    от 5000 до 10 000
    руб.    		 Статья 13.11
    КоАП РФ
    Разглашение информации, доступ к
    которой ограничен (персональных
    данных), лицом, получившим к ней
    доступ в связи с исполнением
    служебных или профессиональных
    обязанностей    		 Для должностных лиц:
    от 4000 до 5000 руб.    		 Статья 13.14
    КоАП РФ

    Чек-лист для бизнеса: что нужно сделать

    1. Назначить ответственное за работу с персональными данными лицо.

    Документы: приказ о назначении и должностная инструкция/дополнения в должностную инструкцию (если это не отдельная должность).

    2. Определить, в каких «точках» компания работает с персональными данными (например, HR: в данном случае речь идет о данных, которые предоставляют о себе кандидаты и работники), договоры с контрагентами, сайты, приложения, программы лояльности и прочее).

    3. Определить цель каждой обработки персональных данных и убедиться, что вся запрашиваемая информация необходима для данных целей — излишние данные исключить (не запрашивать).

    4. Определить надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное).

    Документы по пп. 2, 3, 4: реестр обработки персональных данных.

    У обработки данных должна быть цель

    Закон говорит нам, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. То есть, невозможна обработка персональных данных, в отношении которых мы не можем сформулировать цель их обработки.

    Самый яркий пример. Организация была наказана при проверке за то, что в офисе у кого-то на столе лежала копия чьего-то паспорта, и никто не мог вспомнить, что это за человек, и вообще какие отношения связывали организацию с этим человеком. Уже потом выяснилось, что просто кто-то забыл на столе. Соседка попросила снять копию, чтобы отнести в собес. В общем, сотрудник забыл. Проверяющий спрашивает: – Какова цель обработки персональных данных? Что это за человек? Подтвердите законность обработки персональных данных. И где согласие на обработку этих персональных данных? Естественно, эта организация ничего предъявить не смогла. Соответственно, сами себе, что называется, привнесли нарушение. И это тоже очень важный элемент.

    Читайте также:  Как узнать, было ли финансирование детских пособий

    Поэтому я всегда первым делом рекомендую организациям провести ревизию всех своих документов и определиться в отношении каждого документа, есть ли у вас цель обработки этих персональных данных. Если эти цели истекли давным-давно, то ничего этого у вас храниться не должно. Потому что, как говорит закон, обработка должна ограничиваться достижением. То есть, по сути, как только цель обработки персональных данных, для которой мы их собирали, достигнута, они у нас дальше храниться не должны. За исключением случаев, если это прямо предусмотрено законом.

    Например, трудовой договор с сотрудником закончился или был расторгнут заранее. По идее, цель обработки персональных данных достигнута, действие трудового договора закончено. Но по законодательству о бухучете, налоговому законодательству мы должны определенное время еще хранить эти документы, 5 или 6 лет, если я не ошибаюсь. Вот если прямо предусмотрено законом, тогда мы можем хранить дальше. А если уже и эти сроки истекли, и дальнейшее хранение этих документов никоим образом не регламентировано, соответственно, считается, что и цель достигнута, и все эти документы должны быть уничтожены.

    Для нас с вами актуальны два случая обработки персональных данных. Это если у нас с субъектом персональных данных заключен договор, и согласия здесь не требуется, если мы действуем строго в рамках предмета договора. И в случае, если мы имеем согласие субъекта персональных данных.

    Что касается согласия, здесь в законе иезуитские формулировки. Закон говорит нам, что согласие на обработку персональных данных может быть дано субъектом в любой форме, позволяющей подтвердить факт его получения. При этом обязанность предоставить доказательства получения этого согласия опять же возлагается на операторов, то есть, на нас с вами, как организации. А как мы можем подтвердить? Какой наиболее простой способ подтвердить факт получения согласия? Естественно, это проще всего подтвердить письменной формой, но письменную форму заполнить не всегда получается потому, что, например, бывают случаи, когда мы получаем персональные данные, ну, например, через сайт. Если человек, субъект сам подписывается на нашу рассылку или через наш сайт записывается к нам на мероприятия на какие-то. Еще возможны какие-то варианты. Закон говорит о том, что в согласии должна быть либо собственноручная подпись, либо электронная цифровая подпись. Но электронную цифровую подпись физические лица мало кто имеет. У организаций это есть, а для физических лиц это, все-таки, достаточно диковинная штука. Как тут выходить из этой ситуации?

    Если человек на сайте заполняет сам анкету, бывают случаи, когда человек предварительно может заполнить эту форму, потом, впоследствии мы, конечно, с него это письменное полноценное согласие возьмем, но пока, предварительно, эта форма в электронном виде. Здесь мы рекомендуем, и вообще, это уже достаточно устоявшаяся, в принципе, практика, делать следующее. Если вы на своем сайте даете возможность заполнения анкеты, и человек сам вводит туда свои персональные данные, во-первых, к этой форме нужно прицепить галочку о том, что человек ознакомлен с политикой в отношении обработки персональных данных — об этом мы сейчас очень подробно поговорим — и только после этого загорается кнопка «Отправить» или «Согласен».

    А во-вторых, необходимо сделать так, чтобы как только анкета заполнена на сайте и человек нажимает кнопку «Отправить», в организацию конкретному сотруднику или на общий какой-то адрес приходил сигнал, что тогда-то, тогда-то, во столько-то, во столько-то на сайте была заполнена анкета. И вот этот файл необходимо сохранять – он будет подтверждать факт заполнения этой анкеты на вашем сайте. И, в случае чего, вы именно вот этим файликом сможете подтвердить факт заполнения этой формы.

    Ну, здесь немножко попроще в том смысле, что человек заполняет свою форму на сайте, вы же не проверяете достоверность сведений, которые он ввел в эту форму. Некоторые люди могут представляться вымышленными или чужими данными. В общем, здесь хотя бы файл, подтверждающий факт заполнения этой формы, поможет в случае чего отвести от себя возможные претензии.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *