Ситуация когда работник оператора сохранил персональные данные в виде файла на компьютере считается
Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
- фамилия, имя, отчество;
- место, дата рождения;
- место постоянной или временной регистрации;
- фотография или видеозапись человека, позволяющие идентифицировать человека;
- сведения о детях, родственниках, семейном положении;
- сведения о заработной плате;
- оценка навыков, личностных качеств;
- индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
- информация о судимостях, или их отсутствии;
- номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
- паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
- биометрические данные.
Также существует классификация персональных данных. Их подразделяют на:
- общедоступные;
- специальные;
- биометрические;
- иные.
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
стаж работы и пр.
Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором. Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят. А оператор персональных данных — юридические лица, государственные организации или ведомства. Они данные собирают, обрабатывают, хранят , передают и уничтожают .
Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры. Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию. Подробнее .
Что относится к персональным данным
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.
То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.
Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Обработка и хранение персональных данных: составление внутренних правил
Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:
- общие положения;
- способы выявления и профилактики несанкционированного доступа и распространения ПДн;
- цели обработки и содержание хранимой личной информации;
- категории субъектов;
- сроки обработки и сохранения сведений;
- механизм уничтожения информации;
- ответственность за нарушение правил.
После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:
К вопросу обеспечения защиты личной информации граждан российские власти относятся очень серьезно и для предупреждения несанкционированного их использования разработали специальную нормативно-правовую базу, основой которой является ФЗ-152. В нем не только четко указано, кто является оператором персональных данных, но и какие обязанности на него возлагаются на разных этапах обработки, а также прописана ответственность за нарушения. Досконально разобраться в юридических тонкостях неспециалисту проблематично, поэтому растет число ИП и юридических лиц, которые сотрудничают с компаниями-консультантами. Но даже при делегировании полномочий заказчику важно понимать, чего от него требует Федеральный закон, чтобы правильно организовать работу информационных систем, подобрать оптимальные меры защиты и разработать соответствующую локальную документацию.
Обязанности на этапе сбора ПДн
Во время получения персональных данных организация должна позаботиться о следующих моментах:
- сообщить субъекту о факте обработки, целях и методах совершения операций;
- получить добровольное согласие на использование сведений;
- при необходимости разъяснить последствия отказа от предоставления ПДн;
- обеспечить хранение, извлечение, обновление и другие действия с данными на серверах, расположенных в пределах РФ.
Проводить информационную работу с владельцами ПДн нет необходимости, если они уже предварительно уведомлены, есть подписанный договор, предусматривающий совершение операций с персональными данными либо сведения являются общедоступными.
Сбор и обработка персональных данных при приеме на работу
Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.
Персональные данные для пропуска
В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требуется оформление пропуска.
В данном случае нет необходимости в получении согласия на обработку персональных данных, если:
- компания самостоятельно осуществляет пропускной режим;
- если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.
В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.
Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Что делать, если персональные данные собираются с помощью анкеты
Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
- в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
- в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
- анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
- в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.
Размещение «черных списков» сотрудников на сайте
Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.
Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.
В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.
Каким должно быть согласие на обработку персональных данных
Роскомнадзор в своих рекомендациях формулирует следующие требования:
- Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
- Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
- Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
- 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
- на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
- финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.
Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.
Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.
Устранение нарушений
В случае выявления незаконных операций с ПДн оператор должен:
- заблокировать данные, с которыми совершались неправомерные действия;
- обеспечить прекращение операций, нарушающих права гражданина;
- прекратить обработку ПДн при достижении целей, которые были установлены при сборе.
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса . Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.
Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).
В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты.
Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.
То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.
Оформление доски почета
Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.
Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.
Для использования фото сотрудника тоже придется заручиться согласием.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Сотрудник сменил фамилию — что делать с трудовым договором?
В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.
Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.
Правильно будет внести изменение непосредственно в текст трудового договора, вручную.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
- Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
- Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
- Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
- Иные данные — это просто дополнительная информация, они часто могут меняться.
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
- сбор;
- передача;
- запись;
- хранение;
- извлечение;
- изменение;
- обезличивание;
- анализ;
- удаление.
В свою очередь, обработка может осуществляться тремя путями:
- Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
- Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
- Неавтоматизированная — без автоматизации.
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный. Как это сделать знают специалисты Делис Архив .
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
- обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации .
- обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации .
- неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс .
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Важные нюансы, связанные с порядком хранения персональных данных
Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:
- Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
- Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
- Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
- Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
- Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.
При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Принятие мер безопасности
Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:
- Определение потенциальных угроз и разработка способов противодействия.
- Применение сертифицированных средств защиты информации.
- Оценка эффективности внедренных мер защиты.
- Учет материальных носителей ПДн.
- Регулярная проверка системы на отсутствие признаков взлома.
- Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
- Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.
Что делать с данными кандидата, которого не взяли на работу
В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.
Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.
Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников?
На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Подробнее об обязанностях оператора ПДн и уровнях защищенности персональных данных можно прочитать в двух других наших статьях: «Как соблюсти 152-ФЗ» и «Защита персональных данных в облаке».
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что делать с персональными данными кандидата
Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.
В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.
Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.
Но есть и исключения, когда такое согласие не требуется:
- если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
- при самостоятельном размещении резюме в интернете.
В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.
Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.
Назначение ответственных лиц
Среди обязанностей оператора при обработке персональных данных (если он является юридическим лицом или ИП с работниками) одной из основных является определение работников, которые согласно полученным от руководства указаниям и локальным документам (инструкциям, правилам, приказам) будут осуществлять организацию и контроль за обработкой ПДн. В список выполняемых им задач входит:
- проведение внутренних проверок за соблюдением нормативов ФЗ-152 на предприятии с составлением и подачей оператору отчетов;
- информирование персонала о правилах сбора, хранения, копирования, изменения, блокировки ПДн и необходимости соблюдения мер безопасности;
- организация приема и реагирования на запросы от субъектов ПДн и их законных представителей.
Основные права и обязанности оператора персональных данных
В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:
- сборе и накоплении;
- анализе и систематизации;
- уточнении (коррекции либо дополнении);
- извлечении и использовании;
- передаче третьим лицам;
- блокировке и обезличивании;
- уничтожении и удалении.
Список того, что оператор персональных данных обязан делать, гораздо обширнее и занимает целую главу в законе, поэтому заслуживает более детального изучения.
Законными считаются только те действия с личными сведениями физических лиц, о которых организация заблаговременно сообщила в Роскомнадзор. Процедура предельно простая — нужно составить и подать уведомление в орган надзора в письменном или электронном (во втором случае нужна будет ЭЦП) виде, после чего дождаться внесения в единую базу. При недостаточно полной информации может потребоваться уточнение тех или иных пунктов, а ошибки и неточности в заполнении полей могут привести к штрафам и судебным разбирательствам. Желательно привлечь на данном этапе профессионалов, которые не только проследят за правильностью составления документа (либо сами заполнят необходимые поля), но и проконсультируют относительно внедрения СЗИ и подготовки внутренних документов, регулирующих операции с ПДн.
Главное, что должно быть указано в уведомлении:
- сведения об операторе — наименование либо Ф.И.О., адрес (юридический и фактический, телефон, ИНН или ОГРН);
- список запланированных действий и цели сбора и использования ПДн;
- нормативно-правовая база деятельности и категории данных, подлежащих сбору, хранению, анализу и т.д.;
- применяемые средства защиты и тип ИСПДн;
- сведения о центре обработки данных;
- сведения о трансграничной передаче;
- сведения об ответственном лице;
- сведения о филиалах;
- условия прекращения обработки;
- дата и подпись (обычная или электронная).
Начинать обработку информации в автоматизированных, неавтоматизированных или смешанных системах запрещено до направления уведомления в РКН. Но существуют определенные исключения, например, нет необходимости уведомлять контролирующий орган об использовании сведений о сотрудниках или обработке только Ф.И.О. Кроме этого, избежать отправки документа можно, если субъект сделал сведения о себе общедоступными либо подписал с вами договор, в рамках которого предусмотрены те или иные действия с персональными данными.
Кроме уведомления для легального осуществления действий с ПДн оператор обязан подготовить политику, регулирующую обработку личной информации, и ряд других внутренних документов, среди которых:
- форма согласия, которую нужно будет подписывать субъектам;
- приказ о назначении определенного сотрудника лицом ответственным за организацию обработки персональных данных;
- правила внутреннего контроля и/или аудита;
- инструкции по работе с персональными данными в информационных системах;
- модель угроз для каждой ИСПДн;
- поручение (при передаче полномочий сторонней организации).
Что делать с персональными данными уволенных сотрудников
Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.
Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.
Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.
Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.
Обеспечение конфиденциальности сведений
Особенно детально в ФЗ-152 прописана необходимость профилактики несанкционированного доступа и распространения ПДн. Для этого требуется:
- сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме;
- предупреждать сотрудников, допущенных к персональным данным, о том, что обработка ведется исключительно в заранее установленных целях;
- осуществлять периодический контроль исполнения требований законодательства и локальных актов;
- не допускать получения доступа лицами без соответствующих полномочий;
- запрашивать только тот объем персональной информации, который необходим для выполнения поставленных задач.
Ответственность оператора персональных данных за невыполнение обязанностей
Несоблюдение требований относительно обработки ПДн предполагает привлечение к различным видам ответственности, причем наказать могут как уполномоченного за безопасность информации сотрудника, так и все предприятие. Мера ответственности и способ наказания определяются в зависимости от серьезности нарушения согласно ФЗ-152, а также отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации. Это может быть:
- возмещение имущественного и морального вреда;
- увольнение, замечание либо выговор;
- лишение права занимать определенные должности сроком от 2 до 5 лет и более;
- принудительные или исправительные работы;
- арест и лишение свободы;
- штрафные санкции.
Своевременное инвестирование в оптимизацию деятельности согласно ФЗ-152 и подзаконных актов позволит не переживать во время проверок Роскомнадзора и стать в восприятии партнеров, клиентов и сотрудников представителем социально ответственного бизнеса.
Направление запросов на прежние места работы
На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.
Для этого ему обязательно нужно заручиться согласием соискателя.
Кадровый и бухгалтерский учет на аутсорсе и персональные данные
Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).
Оформление зарплатной карты и персональные данные работника
Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.
При этом важно, чтобы:
- перечень персональных данных строго соответствовал тому, что передается в банк;
- была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
- договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
- у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).
Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.
В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
- Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
- Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
- Отвечать на обращения субъектов и предоставлять им всю информацию.
- Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
- Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
- Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.
Читайте также: