С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.
Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.
Какие данные сотрудника считаются персональными?
Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.
Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.
Что может считаться персональными данными?
В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.
Как организовать защиту персональных данных в организации?
Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.
Чтобы организовать защиту пнд, необходимо:
1) Начать с приказа о назначения ответственного за организацию обработки персданных.
Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.
2) Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.
Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.
Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.
3) Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.
4) Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.
5) Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.
Какие меры необходимо предпринять по защите персональных данных сотрудников?
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Среди мер защиты выделяют:
-
ограниченное число работников, которые имеют доступ к персданным;
-
принятие нормативных документов;
-
утверждение перечня документов, которые содержат пнд;
-
внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;
-
проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;
-
установление режима по пропускам;
Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.
Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?
1. Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.
Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.
2. Не забывать получать разрешение у сотрудников на сбор и обработку данных.
3. Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После достижения целей сбора или истечению срока по заявлению работников уничтожать.
4. Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.
5. Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.
Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных».
Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки
2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.
- Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.
В конце статьи есть шпаргалка
Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?
Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.
С 1 марта 2021 года:
- Появился обязательный документ — согласие на распространение персональных данных. В связи с этим необходимо знать порядок его получения, требования к содержанию, условиям прекращения действия и др. В Закон № 152-ФЗ от 27.07.2006 «О персональных данных» введена новая статья 10.1.
- Законодатели ужесточили меры за нарушение обработки персональных данных. Изменения внесены в ст. 13.11 КоАП РФ.
С 1 июля 2021 года:
- Определен новый порядок прохождения инспекционных проверок, в том числе и Роскомнадзора. Вступает в силу Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
- Определен новый порядок прохождения проверок органами Роскомнадзора, который введен в действие Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
Есть ли обязательный перечень документов по персональным данным для организаций?
Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.
Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.
Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Основные обязательные документы:
- Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ).
Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.
- Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.
При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:
- Федеральным законом № 152-ФЗ — он определяет основные требования в отношении оператора по персональным данным;
- Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Согласие на обработку персональных данных необходимо оформлять практически с каждым субъектом персональных данных (соискателем, работником, родственниками работника, клиентами, третьими лицами и др.), чьи данные обрабатывает организация.
Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.
Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.
Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).
Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.
Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.
Каковы штрафы за нарушения обработки и распространения персональных данных?
Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.
Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.
Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:
- для должностных лиц — от 20 000 до 40 000 руб.
- для юридических лиц — от 30 000 до 150 000 руб.
За повторное нарушение ввели новые штрафы:
- для должностных лиц — от 40 000 до 100 000 руб.
- для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
- для юридических лиц — от 300 000 до 500 000 руб.
Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?
Что необходимо проверить:
- Состоит ли организация в реестре Роскомнадзора как оператор, осуществляющий обработку персональных данных в соответствии с требованиями ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Для этого нужно: зайти на сайт Роскомнадзора, в разделе «Персональные данные» выбрать «Реестр операторов персональных данных» и указать в нем название организации, ИНН и регистрационный номер. Если поиск не дал результатов, регистрация отсутствует. - Есть ли в организации Политика в отношении персональных данных. Если есть, проверьте, размещена ли она в открытом доступе на сайте организации. При отсутствии сайта для ознакомления с Политикой в организации к ней должен быть обеспечен неограниченный доступ.
Пример: Политику можно разместить перед входом в организацию на информационном стенде. - Со всеми ли соискателями, работниками и иными третьими лицами подписаны согласия на обработку персональных данных. Если нет, необходимо получить эти согласия. При этом обязательно проверьте, соответствует ли форма согласия на обработку персональных данных требованиям п. 4 ст. 9 Федерального закона № 152-ФЗ.
Пример: в согласии могут быть не указаны все третьи лица, которым передаются персональные данные. Или отсутствует перечень действий по персональным данным. Или некорректно указаны или вовсе не указаны условия обработки и распространения персональных данных. - Если в организации персональные данные субъектов распространяются в неограниченном кругу лиц, есть ли специальные согласия на такое распространение. Это новое требование, которое вступило в силу с 1 марта 2021 года.
- Всем ли работникам, в должностные обязанности которых входит работа с персональными данными, установлены разграничения по соответствующему доступу (полному или ограниченному).
Необходимо оформить доступ: условия указать в локальном нормативном акте (например, Положении по персональным данным) либо приказах по организации, а также должностных инструкциях работников. - Назначено ли ответственное лицо или лица за организацию обработки персональных данных (ст. 18.1 и 22.1 Федерального закона № 152-ФЗ).
- Соответствуют ли используемые типовые формы документов (приказов, уведомлений, соглашений, графиков и т.д.) требованиям Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?
Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:
- перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).
В конце статьи есть шпаргалка
За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:
- для должностных лиц — от 300 до 500 руб.;
- для юридических лиц — от 3 000 до 5 000 руб.
Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).
С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?
Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.
- В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.
Алгоритм действий:
- Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
- Проверьте порядок получения персональных данных от каждого субъекта.
- Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
- Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.
Какие самые частые нарушения допускают кадровики при работе с персональными данными?
Самые распространенные нарушения по персональным данным:
- Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
- Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
- Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
- Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
- Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
- Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
- Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
- Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.
О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.
Какие согласия нужно взять с работника при приеме на работу?
- При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.
Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).
- Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
- Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.
Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?
У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.
Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.
На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.
Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.
Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?
Когда можно предоставлять персональные данные без согласия работника
Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.
Когда нельзя предоставлять персональные данные без согласия работника
На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.
Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.
Как действовать при запросе данных третьими лицами
Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.
- Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.
Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?
Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.
Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?
Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.
Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?
Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:
- документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.
Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.
Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.
- Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
- Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.
Оптимально хранить оригиналы документов, необходимые работодателю:
- к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.
Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.
Рекомендации кадровикам по работе с персональными данными работников
Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.
Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.
- Регулярно отслеживайте изменения и своевременно вносите исправления в документы, корректируйте процессы по персональным данным, которые существуют в организации.
- Чтобы вовремя разобраться в новых правилах, зарегистрируйтесь на вебинар «Законодательные изменения по персональным данным. Чек-лист для кадровика».
- Следите за актуальностью локальных нормативных актов, согласий, приказов, инструкций, регламентов, типовых форм и другие документов, в которых содержатся персональные данные и к которым установлены требования законодательства по их оформлению.
- Помните о соблюдении процессов обработки персональных данных.
- При работе с персональными данными учитывайте обязательные требования норм действующего законодательства, которые несут наибольшие риски.
- Обязательно сделайте чек-лист и проверьте по нему: состоите ли вы на учете в органах Роскомнадзора или нет, какие документы по персональным данным у вас оформлены с учетом их содержания, а какие нет, сo со всеми ли субъектами, чьи данные вы обрабатываете, подписаны необходимые согласия, все ли процессы по передаче персональных данных налажены и защищены, есть ли ответственные лица за организацию обработки персональных данных.
- Скачайте шпаргалку в конце статьи.
Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
-
Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД
548.7 КБ
Скачать
Добавить в «Нужное»
Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 26 ноября 2018 г.
Содержание журнала № 23 за 2018 г.
С самого начала своей работы каждая компания получает и обрабатывает персональные данные. И первые сведения, с которыми она сталкивается (причем еще на стадии подбора персонала), — персональные данные работников. При этом штрафы за недочеты в работе с этими сведениями довольно суровые. Поэтому важно знать, каким образом надо организовать работу, чтобы таких штрафов избежать.
Как организовать работу с персональными данными сотрудников
Ознакомьте работника с Положением о работе с персональными данными
Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организациист. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ). В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании. Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственностист. 5.27 КоАП РФ.
Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.
Общие положения. В этом разделе нужно прописать цели принятия Положения, например: «Определить порядок обращения с персональными данными работников». Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст. 3 Закона № 152-ФЗ.
Основные понятия. Все понятия можно взять также из ст. 3 Закона № 152-ФЗ.
Состав персональных данных. В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это:
•документы, необходимые для заключения трудового договора;
•оригиналы и копии приказов и распоряжений;
•личные дела и трудовые книжки;
•налоговая, статистическая и иная отчетность.
Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует
Обработка персональных данных. Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использованиеп. 3 ст. 3 Закона № 152-ФЗ, удаление и уничтожение. В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ.
Передача персональных данных. В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.
Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным. Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственностьст. 90 ТК РФ.
Ознакомьте всех работников (в том числе и тех, кого только принимаете на работу) с Положениемч. 2 ст. 22, ст. 68 ТК РФ. Подтверждением того, что работник с ним ознакомился, будет его подпись:
•или в трудовом договоре, если в нем есть ссылка на Положение;
•или в листе ознакомления с Положением;
•или в журнале ознакомления с локальными актами.
Внимание
Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных. О том, как составить Политику обработки персональных данных, мы рассказали в статье «Как составить Политику обработки персональных данных» (см. , 2018, № 22).
Получите согласие работника на обработку персональных данных
Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они полученып. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ; абз. 1 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения):
•из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании);
•по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровьяст. 69 ТК РФ; п. 3 Разъяснений;
•от кадрового агентства, действующего от имени соискателяабз. 12 п. 5 Разъяснений;
•из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лицп. 10 ч. 1 ст. 6 Закона № 152-ФЗ; абз. 12 п. 5 Разъяснений;
•при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2утв. Постановлением Госкомстата от 05.01.2004 № 1, либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат)п. 2 Разъяснений.
Внимание
За обработку персональных данных работника без его письменного согласия организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а ее руководителя — от 10 000 до 20 000 руб.ч. 2 ст. 13.11 КоАП РФ
Но потребуется письменное согласие:
•для получения ПД работника у третьей сторонып. 3 ст. 86 ТК РФ;
•для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступленийабз. 2 ст. 88 ТК РФ; п. 4 ч. 1 ст. 13 Закона от 07.02.2011 № 3-ФЗ; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ; ст. 9 Закона от 01.04.96 № 27-ФЗ;
•для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизнип. 4 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ.
А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данныхч. 3 ст. 9 Закона № 152-ФЗ.
Как оформить согласие на обработку персональных данных
Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным». Согласие, содержащее, например, формулировку «Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора», таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.
Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными даннымич. 1 ст. 9 Закона № 152-ФЗ.
Согласие должно содержать обязательные сведения. Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб.ч. 2 ст. 13.11 КоАП РФ
В согласии на обработку ПД обязательно укажитеч. 4 ст. 9 Закона № 152-ФЗ:
•ф. и. о., адрес работника;
•реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;
•наименование и адрес вашей компании;
•цель обработки персональных данных;
•перечень персональных данных, на обработку которых дает согласие работник;
•перечень действий с персональными данными, на совершение которых работник дает согласие;
•способы обработки персональных данных, которые вы используете.
Согласие на обработку персональных данных
Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на обработку в документальной и (или) электронной форме моих персональных данных для оформления информационного стенда.
Перечень моих персональных данных, на обработку которых я даю согласие:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».
Настоящее согласие действует в течение всего срока трудового договора.В согласии на обработку персональных данных должен быть указан срок, в течение которого оно действуетп. 8 ч. 4 ст. 9 Закона № 152-ФЗ. Срок действия согласия можно обозначить цифрой, например 5 лет. Допустимо также указать, что согласие действует:
•до расторжения трудового договора;
•до момента, когда будет достигнута цель обработки;
•до момента, пока сотрудник не отзовет согласие
Настоящее согласие может быть отозвано мной в письменной форме.Согласие также должно содержать условие о том, каким способом работник вправе его отозватьп. 8 ч. 4 ст. 9 Закона № 152-ФЗ
05.09.2018 |
П.В. Иванов |
Согласие на обработку ПД работник должен подписать личноч. 4 ст. 9 Закона № 152-ФЗ
Как передать ПД работника третьему лицу
Работодатель не вправе передавать третьим лицам ПД работника без его согласияч. 1 ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ. Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случаяхст. 88 ТК РФ. Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страхованияпп. 2—11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ; абз. 6—10 п. 5 Разъяснений; ст. 9 Закона от 01.04.96 № 27-ФЗ; ст. 4 Закона от 28.03.98 № 53-ФЗ. Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.
Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения. Это возможно, когдаабз. 11 п. 4 Разъяснений:
•или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных;
•или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком;
•или форма и система оплаты труда прописаны в коллективном договоре.
Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью. Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюденоч. 1 ст. 88 ТК РФ.
Согласие на передачу персональных данных
Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на передачу в ПАО «Банк»: фамилии, имени, отчества; должности; размера заработной платы.
Цель передачи и обработки: получение кредита.
Срок действия согласия: две недели, следующие за днем получения кредита.
10.10.2018 |
П.В. Иванов |
Как отозвать согласие на обработку ПД
Сотрудник вправе отозвать свое согласие на обработку персональных данных в любое времяч. 2 ст. 9 Закона № 152-ФЗ. Для этого он должен направить письменное заявление.
Отзыв согласия на обработку персональных данных
Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии с п. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отзываю у ООО «Ватрушка», расположенного по адресу: г. Курск, ул. Черняховского, д. 12, согласие на обработку персональных данных для оформления информационного стенда от 05.09.2018.
Перечень моих персональных данных, обработку которых прошу прекратить:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».
25.10.2018 |
П.В. Иванов |
Однако, даже если работник отозвал свое согласие, организация вправе продолжать обрабатывать его персональные данные в установленных законом случаях. Например, для исполнения судебного акта, для налогового учета и отчетности, для исполнения трудового договорач. 2 ст. 9 Закона № 152-ФЗ.
Как получить персональные данные работника у третьей стороны
Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работникап. 3 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ. В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.
Общество с ограниченной ответственностью «Ватрушка»
Уведомление о получении персональных данных у третьих лиц
Уведомляем Вас о том, что в связи с утратой Вашей трудовой книжки по вине ООО «Ватрушка» в целях сбора сведений о предыдущих местах работы и периодах трудовой деятельности ООО «Ватрушка» запросит эти персональные данные у ООО «Штрудель». Сведения будут запрошены в письменной форме посредством почтовой связи. Просим Вас дать согласие на получение персональных данных у третьих лиц.
Начальник отдела кадров |
А.В. Синицина |
С уведомлением ознакомлен
Инженер |
П.В. Иванов |
09.10.2018
* * *
В организации должен быть установлен конкретный перечень работников, которым разрешен доступ к персональным данным. Для этого подготовьте отдельный приказ, в котором укажите, какие именно ПД тот или иной специалист может использовать в своей работе. Также с этих работников нужно взять обязательство о неразглашении ПДч. 6 ст. 88 ТК РФ. Помимо этого, назначьте ответственного за работу с персональными данными. Он обязан знать положения законодательства, касающиеся персональных данных, и анализировать поступающую документациюст. 22.1 Закона № 152-ФЗ.
Понравилась ли вам статья?
- Почему оценка снижена?
- Есть ошибки
- Слишком теоретическая статья, в работе бесполезна
- Нет ответа по поставленные вопросы
- Аргументы неубедительны
- Ничего нового не нашел
- Нужно больше примеров
- Тема не актуальна
- Статья появилась слишком поздно
- Слишком много слов
- Другое
Поставить оценку
Комментарии (0)
Оценивать статьи могут только подписчики журнала «Главная книга» или по демодоступу.
-
я подписчик электронного журнала
-
я не подписчик, но хочу им стать
-
хочу читать статьи бесплатно и попробовать все возможности подписчика
Другие статьи журнала по теме:
Документооборот / Первичные документы
Документооборот / Первичные документы
2023 г.
2022 г.
2021 г.
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.
Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
- Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
- Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
- Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
- Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
можно получить на него сертификат самостоятельно.
Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.
Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что будет, если не защитить данные
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:
- Физлицо — на 700–2000 рублей.
- Должностное лицо — на 4 000–10 000 рублей.
- ИП — на 10 000–20 000 рублей.
- Юрлицо — на 25 000–50 000 рублей.
Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Разработать документы, описывающие порядок работы с персональными данными
Публичные документы: их показываем тем, у кого берем персональные данные
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.
Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».
Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.
Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Что будет, если не разработать документы
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ
- Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
- Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
- Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
- Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
- Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.
Читать по теме:
- Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.
- Соблюдение законов о персональных данных.
- Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Автор: Алексей Залецкий
Зачем нужно защищать персональные данные
В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Основные этапы защиты ПДн
Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:
-
обследование;
-
моделирование угроз;
-
разработка технического задания;
-
проектирование системы защиты;
-
реализация технической части системы защиты;
-
реализация организационных мер;
-
оценка эффективности принятых мер;
-
аттестация;
-
поддержание необходимого уровня защиты в процессе эксплуатации.
Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации.
Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок. Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна приостановка деятельности юридического лица до устранения несоответствий.
Защита персональных данных: пошаговый план
Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом этого этапа должен стать аналитический отчёт с указанием несоответствий закону.
Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.
Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.
Разработать Модель угроз для вашей ИСПДн.
Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:
-
средства защиты от несанкционированного доступа, включая средства доверенной загрузки;
-
средства антивирусной защиты;
-
средства анализа защищённости;
-
система обнаружения вторжений;
-
межсетевой экран;
-
ряд других СЗИ.
Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги.
Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.
Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию. Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.
Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.
Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.
После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки.
Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.
Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.
Хостинг ИСПДн с соблюдением требований законодательства.