РасчётыФинансированиеРазмещение средствВЭДИнвестбанкЕщё
Зарплатный проект

15 минут

70

17.03.2025

Правила работы с персональными данными в организации

Альфа‑Банк

Полезное о продуктах


Компании обрабатывают персональные данные (ПД), когда отбирают кандидатов на новые вакансии, трудоустраивают работников, передают сведения в банк в рамках зарплатного проекта, получают заявки от новых клиентов. В статье рассказываем, что входит в обработку персональных данных (ОПД), как её правильно организовать и какие санкции можно получить за нарушения.

Что такое обработка персональных данных

ОПД — это любое действие, которое совершают с персональными данными. Список возможных действий приведён в статье 3 Федерального закона № 152-ФЗ:

  • сбор

  • запись

  • систематизация

  • хранение

  • обновление

  • распространение

  • обезличивание

  • уничтожение

Под персональными данными понимают любую информацию, которая прямо или косвенно относится к физическому лицу. ПД включают:

  • фамилию, имя, отчество

  • дату и место рождения

  • адрес

  • серию и номер паспорта, СНИЛС, ИНН

  • социальное, имущественное, семейное положение, количество детей

  • образование

  • профессию

  • доходы

  • биометрию

  • номер телефона, электронную почту и прочие сведения, которые могут идентифицировать человека

Тот, кто обрабатывает информацию, называется оператором персональных данных.

Для работодателя ОПД начинается с момента, когда соискатели присылают отклики на вакансию, указывают в них профессиональную, личную и контактную информацию.

Как обеспечить обработку персональных данных

Закон № 152-ФЗ обязывает компании защищать личную информацию работников и клиентов. Даём пошаговую инструкцию, которая поможет обеспечить обработку информации в соответствии с требованиями законодательства.

Шаг 1. Разработать внутреннюю политику

Нужно издать внутренний нормативный акт под названием «Политика в отношении обработки персональных данных». Согласно статье 18.1 закона № 152-ФЗ, оператор обязан предоставить неограниченный доступ к политике. Многие компании размещают этот документ на своём сайте. Когда на сайте регистрируются новые пользователи, они могут прочитать политику и дать согласие на обработку персональных данных. Без такого согласия невозможно поделиться личными сведениями.

Политика — объёмный документ, который стоит разрабатывать с юристом. В общей форме он состоит из 12 разделов. Краткие описания каждого раздела представлены в таблице.

Раздел

Описание

1. Общие положения

Указывают цель политики, сферы применения, основания для изменения и пересмотра документа, время вступления в силу и некоторые другие положения

2. Перечень нормативных документов и правовые основания обработки персональных данных

Перечисляют документы, которые регулируют обработку ПД. К ним относятся Трудовой кодекс РФ, Федеральные законы № 152-ФЗ, 149-ФЗ, 572-ФЗ и другие. В списке нормативных документов указывают акты, которые касаются сферы работы компании, а также внутренние документы: например, трудовые договоры, соглашения с клиентами, устав организации

3. Термины и определения

Определяют все термины, которые используются в тексте политики. К таким терминам относятся:

персональные данные

обработка персональных данных

все виды работы с информацией: предоставление, распространение, передача, уничтожение и прочие

субъект персональных данных (СПД)

оператор персональных данных

конфиденциальность персональных данных и другие

4. Категории субъектов персональных данных

Перечисляют категории субъектов, которые передают сведения для дальнейшей обработки. Это могут быть кандидаты на вакансию, работники, потенциальные клиенты, акционеры, пользователи сайта и прочие. Для каждой категории указывают цель ОПД

5. Перечень обрабатываемых данных

Перечисляют все типы информации, которую обрабатывают, или ссылаются на нормативно-правовые акты

6. Принципы обработки персональных данных

Указывают принципы, которым следует компания в рамках политики. Принципами могут быть законность, соответствие целям обработки, уничтожение данных по достижении цели

7. Порядок и условия обработки данных

Подробно описывают способы и условия работы с информацией. В этом разделе отражают:

условие обязательного согласия СПД на обработку персональных данных

использование средств автоматизации при сборе и анализе сведений

право перепоручить обработку другому лицу с согласия СПД

основания для предоставления информации органам власти и прочее

8. Права субъекта персональных данных

Указывают, в каких случаях субъект может получить сведения об обработке его персональных данных. Обязательно добавляют пункт о том, что субъект имеет право отозвать согласие на обработку, а также ограничить работу компании с его персональными данными

9. Обязанности оператора

Перечисляют обязанности, предусмотренные действующим законодательством

10. Меры компании по выполнению обязанностей

Перечисляют меры, с помощью которых компания обеспечивает исполнение обязанностей в рамках закона № 152-ФЗ. К таким мерам относятся издание политики, назначение ответственного, внутренний контроль и прочие

11. Меры по защите персональных данных

Описывают правовые, организационные и технические меры, которые направлены на нейтрализацию угроз утечки персональных данных

12. Ответственность

Указывают, что лица, ответственные за нарушение норм ОПД, несут ответственность согласно законодательству РФ

Структура документа может включать больше разделов. Например, некоторые компании выносят цели ОПД в отдельный раздел и добавляют заключительные положения. В них указывают, что политика утверждена генеральным директором, а с правилами обязаны знакомиться все работники организации.

Шаг 2. Назначить ответственного

Директор должен издать приказ, в котором назначает ответственного за соблюдение политики в отношении ОПД. Обязанность назначить ответственного указана в статье 18.1 закона № 152-ФЗ, список его обязанностей — в статье 22.1.

Ответственный должен проводить организационно-технические мероприятия, которые помогают выполнять обязанности по защите ПД. К таким мероприятиям относятся:

  • организация приёма и обработки обращений субъектов персональных данных

  • ознакомление работников с положениями законодательства РФ в области ОПД

  • создание системы защиты ПД, в том числе выполнение требований по инженерно-технической защите помещений

  • аттестация информационных систем на соответствие требованиям безопасности информации

  • курсы повышения квалификации сотрудников в области защиты ПД и другие

Ответственный получает указания напрямую от исполнительного органа организации. У ответственного должна быть достаточная квалификация для обеспечения защиты ПД и разъяснения требований другим сотрудникам. Работодатель должен предоставить ответственному работнику административный ресурс, чтобы тот мог получать информацию от подразделений компании и давать указания, обязательные к исполнению.

Работу с личной информацией часто поручают начальнику отдела кадров, главному бухгалтеру, руководителю службы безопасности.

Приказ о назначении ответственного должен содержать следующие сведения:

  • ссылки на статьи 18.1 и 22.1 закона № 152-ФЗ в преамбуле документа

  • Ф. И. О. и должность назначенного работника

  • обязанности ответственного сотрудника

  • указание на прямое подчинение директору по вопросам ОПД

  • сумма доплаты за исполнение новых обязанностей

  • список сотрудников компании, которые должны предоставлять информацию ответственному за исполнение норм ОПД

  • перечень сведений, которые необходимо представлять ответственному

Этим же приказом можно утвердить инструкцию ответственного за ПД. Это внутренний документ, в котором подробно изложены полномочия и права такого сотрудника. Если компания не издаёт отдельную инструкцию для ответственного работника, с ним нужно подписать дополнительное соглашение к трудовому договору.

Шаг 3. Определить группу лиц с доступом к персональным данным

Нужно создать и утвердить список должностных лиц, которые имеют доступ к персональным данным. Для утверждения перечня работодатель издаёт приказ. Это может быть отдельный документ или дополнение к действующему регламенту. Иногда список сотрудников с доступом в ПД приводят в приказе о назначении ответственного.

Доступ к личной информации должен быть обоснованным. Обычно его предоставляют бухгалтерам, кадровикам и сотрудникам, которые работают с ПД клиентов: менеджерам по продажам, администраторам сайта и прочим.

Шаг 4. Обеспечить безопасность персональных данных

Список мер по защите ПД приведён в статье 2 Приказа № 21. Представим обязанности оператора в виде таблицы.

Обязанность оператора

Какие меры включает

Обеспечивать идентификацию всех субъектов и объектов с доступом к ПД сотрудников и клиентов

У каждого субъекта и объекта должен быть уникальный идентификатор. В компании должна действовать система проверки идентификатора на подлинность

Управлять доступом

Оператор должен разработать правила доступа к информации для сотрудников на разных должностях. Также необходима система контроля за соблюдением этих правил. Например, отдел кадров не работает с ПД клиентов, а отдел продаж — с ПД других сотрудников

Ограничивать программную среду

Сотрудники могут устанавливать и запускать только разрешённое программное обеспечение

Защищать машинные носители ПД

Нужно исключить возможность несанкционированного доступа к компьютерам, ноутбукам и внешним носителям, на которых хранятся персональные данные. Например, это можно сделать с помощью регулярно обновляемых паролей

Регистрировать события, связанные с безопасностью ПД

Сведения о событиях безопасности должны фиксироваться и храниться. Необходимо организовать возможность для просмотра и анализа событий

Устанавливать антивирусную защиту

Антивирусные программы должны быть на компьютерах всех сотрудников с доступом к ПД. Это касается и работников удалённого формата, которые часто используют собственное оборудование

Обнаруживать и предотвращать вторжения в информационную систему

Компания должна использовать софт, который выявляет и реагирует на попытки уничтожения, копирования, изменения сведений, отключения защиты ПД

Проводить аудит защищённости ПД

Необходимо тестировать систему защиты ПД и совершенствовать её при выявлении слабых мест

Обеспечивать доступность персональных данных

Сотрудники с правом доступа должны иметь возможность авторизоваться в информационной системе

Защищать виртуальные среды хранения ПД

Нужно предотвратить несанкционированный доступ к личной информации, которая обрабатывается в виртуальной инфраструктуре

Защищать технические средства

Компания должна ограничить доступ в помещения, где стоят компьютеры и другие носители ПД

Защищать системы связи, по которым предаётся личная информация

Нужно обеспечить защиту от прослушивания и других способов утечки

Управлять конфигурацией информационной системы и системы защиты ПД

У оператора ПД должен быть доступ к изменению конфигурации систем. Перед внесением изменений нужно проводить анализ потенциального воздействия на обеспечение безопасности ПД

Оператор сам выбирает, каким способом он будет обеспечивать обязанности по защите ПД. Он должен составить перечень базовых мер, адаптировать к ним компанию, при необходимости — изменить или дополнить перечень.

Шаг 5. Уведомить Роскомнадзор

В статье 22.1 закона № 152-ФЗ указано обязательное требование уведомить Роскомнадзор о намерении заниматься ОПД. Это необходимо сделать до того, как компания начнёт собирать сведения о кандидатах, работниках и/или клиентах.

Форма уведомления опубликована в Приказе Роскомнадзора № 180. В документе указывают:

  • сведения об операторе

  • цель ОПД

  • категории ПД

  • категории субъектов персональных данных

  • правовое основание

  • перечень действий для ОПД

  • сведения о лицах, ответственных за организацию ОПД

  • список должностных лиц с доступом к персональным данным

  • перечень мер для обеспечения защиты ПД

  • дату начала ОПД

  • срок или условия для завершения ОПД

  • сведения о наличии или отсутствии трансграничной передачи информации

  • сведения о месте нахождения базы данных

Уведомление в Роскомнадзор нужно направлять не только перед началом работы с ПД, но и в двух других случаях:

  • при изменении политики

  • при завершении ОПД

Формы этих документов также есть в Приказе Роскомнадзора № 180.

Шаг 6. Получить согласие на обработку персональных данных

В статье 9 Федерального закона № 152-ФЗ говорится, что обрабатывать любые персональные данные можно только с согласия субъекта. При сборе информации клиентов их согласие — отдельный документ. Они могут подписать его в бумажном виде или дать согласие в электронном формате: например, в форме на сайте.

Работодатель может включать согласие на ОПД в трудовые договоры с сотрудниками. Если в трудовом договоре нет такого пункта, сотрудник должен подписать согласие на обработку персональных данных.

Роскомнадзор опубликовал Разъяснения по вопросам ОПД, в которых представил список исключений, когда не нужно согласие субъекта на работу с личной информацией. Это касается случаев, когда распространение сведений о работниках — требование законодательства. Например, медицинские организации обязаны информировать граждан о своих работниках и их квалификациях. Чтобы разместить на сайте информацию о врачах, работодатель не должен получать их согласие.

Согласие работника не требуется, если работодатель передаёт информацию третьим лицам с целью предотвратить угрозу жизни и здоровью СПД. Например, это правило распространяется на передачу сведений о сотрудниках в СФР.

Какие документы нужны для обработки персональных данных

Работа с персональными данными фиксируется документами на всех этапах. Кроме политики в области ОПД, оператор выпускает другие внутренние нормативные документы, которые регулируют порядок исполнения обязательств. К ним относятся инструкции, положения и правила. Инструкции:

  • администратора информационной безопасности

  • ответственного за организацию обработки персональных данных

  • работников, обслуживающих информационные системы ПД

  • по работе с машинными носителями, содержащими ПД

  • по применению антивирусных средств защиты

  • по учёту лиц, допущенных к работе с ПД

  • по физической охране и контролю доступа в помещения

  • по проведению инструктажа работников, допущенных к работе с ПД

Положения:

  • о комиссии по обеспечению безопасности ПД

  • о парольной защите при ОПД

  • о порядке уничтожения ПД

  • об организации видеонаблюдения

  • об ответственности работников, допущенных к ОПД

Правила:

  • выявления инцидентов в области безопасности информационных систем

  • оборудования помещений, используемых для ОПД

  • оценки вреда, который может быть причинён СПД

  • рассмотрения обращений СПД

Большинство решений сопровождается распорядительными документами — приказами:

  • о назначении администратора информационной безопасности

  • о назначении ответственного за организацию ОПД

  • о создании комиссии по уничтожению ОПД

  • об утверждении комиссии по обеспечению безопасности персональных данных

  • об утверждении локальных нормативных актов

  • об утверждении перечня должностей работников, которые взаимодействуют с ПД

  • об утверждении политики оператора в отношении ОПД

  • об утверждении списка помещений, предназначенных для ОПД

Во время работы также составляются акты:

  • определения уровня защищённости информационной системы

  • оценки вреда, который может быть причинён СПД

  • о выявлении нарушений в сфере защиты персональных данных

  • об уничтожении ПД

  • об уничтожении машинных носителей ПД

Статья 9 Федерального закона № 152-ФЗ регламентирует получение согласия субъекта на следующие действия:

  • ОПД

  • ОПД несовершеннолетнего

  • распространение ПД

  • передачу ПД третьей стороне

  • получение ПД от третьих лиц

  • осуществление видеонаблюдения на рабочем месте

Сотрудники, которые работают с личной информацией, должны:

  • подписать обязательство о неразглашении ПД (статья 7 закона № 152-ФЗ)

  • пройти первичный инструктаж и расписаться в журнале учёта (статья 18.1 закона № 152-ФЗ)

Кроме журнала учёта ознакомления работников с правилами работы с ПД, компании ведут другие журналы:

  • сдачи и приёма помещений под охрану

  • учёта лиц, допущенных к работе с персональными данными в информационных системах

  • учёта машинных носителей персональных данных

  • учёта мероприятий по контролю выполнения требований по  обеспечению безопасности ПД

  • учёта нештатных ситуаций

  • учёта обращений СПД

  • учёта процедур резервного копирования

  • учёта средств защиты информации

Штрафы за нарушения в работе с персональными данными

За нарушение правил ОПД предусмотрено два вида наказаний: компенсация морального вреда (параграф 4 ГК РФ) и штраф (статьи 13.11 и 19.7 КоАП РФ).

Размер компенсации морального вреда определяет суд. Штрафы в рамках КоАП РФ:

Нарушение

Штраф для граждан

Штраф для должностных

Штраф для юрлиц

ОПД с целями, которые не указаны в согласии

2000—6000 ₽

10 000—20 000 ₽

60 000—100 000 ₽

ОПД с целями, которые не указаны в согласии (повторное нарушение)

4000—12 000 ₽

20 000—50 000 ₽

100 000—400 000 ₽

ОПД без согласия субъекта

10 000—15 000 ₽

100 000—300 000 ₽

500 000—1 млн ₽

ОПД без согласия субъекта (повторное нарушение)

15 000—30 000 ₽

300 000—500 000 ₽

1–1,5 млн ₽

Отсутствие неограниченного доступа к политике в области ОПД

1500–3000 ₽

6000—12 000 ₽

30 000—60 000 ₽

Непредставление информации об ОПД по запросу субъекта

2000–4000 ₽

8000—12 000 ₽

40 000—80 000 ₽

Неисполнение требований субъекта об уточнении, блокировании или уничтожении ПД

2000–4000 ₽

8000—20 000 ₽

50 000—90 000 ₽

Неисполнение требований субъекта об уточнении, блокировании или уничтожении ПД (повторное нарушение)

20 000—30 000 ₽

30 000—50 000 ₽

300 000—500 000 ₽

Отсутствие мер защиты данных, если это привело к неправомерным действиям с ПД

1500–4000 ₽

8000—20 000 ₽

50 000—100 000 ₽

Невыполнение требования по хранению ПД в базе данных на территории РФ при сборе через интернет

30 000—50 000 ₽

100 000—200 000 ₽

1–6 млн ₽

Невыполнение требования по хранению ПД в базе данных на территории РФ при сборе через интернет (повторное нарушение)

50 000—100 000 ₽

500 000—800 000 ₽

6–18 млн ₽

Непредставление или несвоевременное представление сведений в Роскомнадзор

100–300 ₽

300–500 ₽

3000–5000 ₽

Законодательство в области защиты персональных данных регулярно обновляется. Чтобы соблюдать нормы и не получать штрафы, нужно систематически отслеживать изменения.

Статьи по теме

Смотреть все
Зарплатный проект

Зачем компании нужен HR отдел и чем занимаются менеджеры по персоналу

20.01.2025 ・ Читать 15 мин

Зарплатный проект

Что такое аутстаффинг и почему он важен для многих компаний

22.01.2025 ・ Читать 10 мин

Зарплатный проект

Что такое фонд оплаты труда (ФОТ) и почему он важен для бизнеса

21.01.2025 ・ Читать 10 мин

Подгружаем данные

Все предложения для среднего и крупного бизнеса

Внешнеэкономическая деятельность

РКО

Кредитование

Полезное

Средний и крупный бизнес

Полезные статьи

Правила работы с персональными данными в организации