Компании обрабатывают персональные данные (ПД), когда отбирают кандидатов на новые вакансии, трудоустраивают работников, передают сведения в банк в рамках зарплатного проекта, получают заявки от новых клиентов. В статье рассказываем, что входит в обработку персональных данных (ОПД), как её правильно организовать и какие санкции можно получить за нарушения.

ОПД — это любое действие, которое совершают с персональными данными. Список возможных действий приведён в статье 3 Федерального закона № 152-ФЗ:

• •

  сбор

• •

  запись

• •

  систематизация

• •

  хранение

• •

  обновление

• •

  распространение

• •

  обезличивание

• •

  уничтожение

Под персональными данными понимают любую информацию, которая прямо или косвенно относится к физическому лицу. ПД включают:

• •

  фамилию, имя, отчество

• •

  дату и место рождения

• •

  адрес

• •

  серию и номер паспорта, СНИЛС, ИНН

• •

  социальное, имущественное, семейное положение, количество детей

• •

  образование

• •

  профессию

• •

  доходы

• •

  биометрию

• •

  номер телефона, электронную почту и прочие сведения, которые могут идентифицировать человека

Тот, кто обрабатывает информацию, называется оператором персональных данных.

Для работодателя ОПД начинается с момента, когда соискатели присылают отклики на вакансию, указывают в них профессиональную, личную и контактную информацию.

Закон № 152-ФЗ обязывает компании защищать личную информацию работников и клиентов. Даём пошаговую инструкцию, которая поможет обеспечить обработку информации в соответствии с требованиями законодательства.

Шаг 1. Разработать внутреннюю политику

Нужно издать внутренний нормативный акт под названием «Политика в отношении обработки персональных данных». Согласно статье 18.1 закона № 152-ФЗ, оператор обязан предоставить неограниченный доступ к политике. Многие компании размещают этот документ на своём сайте. Когда на сайте регистрируются новые пользователи, они могут прочитать политику и дать согласие на обработку персональных данных. Без такого согласия невозможно поделиться личными сведениями.

Политика — объёмный документ, который стоит разрабатывать с юристом. В общей форме он состоит из 12 разделов. Краткие описания каждого раздела представлены в таблице.

Структура документа может включать больше разделов. Например, некоторые компании выносят цели ОПД в отдельный раздел и добавляют заключительные положения. В них указывают, что политика утверждена генеральным директором, а с правилами обязаны знакомиться все работники организации.

Шаг 2. Назначить ответственного

Директор должен издать приказ, в котором назначает ответственного за соблюдение политики в отношении ОПД. Обязанность назначить ответственного указана в статье 18.1 закона № 152-ФЗ, список его обязанностей — в статье 22.1.

Ответственный должен проводить организационно-технические мероприятия, которые помогают выполнять обязанности по защите ПД. К таким мероприятиям относятся:

• •

  организация приёма и обработки обращений субъектов персональных данных

• •

  ознакомление работников с положениями законодательства РФ в области ОПД

• •

  создание системы защиты ПД, в том числе выполнение требований по инженерно-технической защите помещений

• •

  аттестация информационных систем на соответствие требованиям безопасности информации

• •

  курсы повышения квалификации сотрудников в области защиты ПД и другие

Ответственный получает указания напрямую от исполнительного органа организации. У ответственного должна быть достаточная квалификация для обеспечения защиты ПД и разъяснения требований другим сотрудникам. Работодатель должен предоставить ответственному работнику административный ресурс, чтобы тот мог получать информацию от подразделений компании и давать указания, обязательные к исполнению.

Работу с личной информацией часто поручают начальнику отдела кадров, главному бухгалтеру, руководителю службы безопасности.

Приказ о назначении ответственного должен содержать следующие сведения:

• •

  ссылки на статьи 18.1 и 22.1 закона № 152-ФЗ в преамбуле документа

• •

  Ф. И. О. и должность назначенного работника

• •

  обязанности ответственного сотрудника

• •

  указание на прямое подчинение директору по вопросам ОПД

• •

  сумма доплаты за исполнение новых обязанностей

• •

  список сотрудников компании, которые должны предоставлять информацию ответственному за исполнение норм ОПД

• •

  перечень сведений, которые необходимо представлять ответственному

Этим же приказом можно утвердить инструкцию ответственного за ПД. Это внутренний документ, в котором подробно изложены полномочия и права такого сотрудника. Если компания не издаёт отдельную инструкцию для ответственного работника, с ним нужно подписать дополнительное соглашение к трудовому договору.

Шаг 3. Определить группу лиц с доступом к персональным данным

Нужно создать и утвердить список должностных лиц, которые имеют доступ к персональным данным. Для утверждения перечня работодатель издаёт приказ. Это может быть отдельный документ или дополнение к действующему регламенту. Иногда список сотрудников с доступом в ПД приводят в приказе о назначении ответственного.

Доступ к личной информации должен быть обоснованным. Обычно его предоставляют бухгалтерам, кадровикам и сотрудникам, которые работают с ПД клиентов: менеджерам по продажам, администраторам сайта и прочим.

Шаг 4. Обеспечить безопасность персональных данных

Список мер по защите ПД приведён в статье 2 Приказа № 21. Представим обязанности оператора в виде таблицы.

Оператор сам выбирает, каким способом он будет обеспечивать обязанности по защите ПД. Он должен составить перечень базовых мер, адаптировать к ним компанию, при необходимости — изменить или дополнить перечень.

Шаг 5. Уведомить Роскомнадзор

В статье 22.1 закона № 152-ФЗ указано обязательное требование уведомить Роскомнадзор о намерении заниматься ОПД. Это необходимо сделать до того, как компания начнёт собирать сведения о кандидатах, работниках и/или клиентах.

Форма уведомления опубликована в Приказе Роскомнадзора № 180. В документе указывают:

• •

  сведения об операторе

• •

  цель ОПД

• •

  категории ПД

• •

  категории субъектов персональных данных

• •

  правовое основание

• •

  перечень действий для ОПД

• •

  сведения о лицах, ответственных за организацию ОПД

• •

  список должностных лиц с доступом к персональным данным

• •

  перечень мер для обеспечения защиты ПД

• •

  дату начала ОПД

• •

  срок или условия для завершения ОПД

• •

  сведения о наличии или отсутствии трансграничной передачи информации

• •

  сведения о месте нахождения базы данных

Уведомление в Роскомнадзор нужно направлять не только перед началом работы с ПД, но и в двух других случаях:

• •

  при изменении политики

• •

  при завершении ОПД

Формы этих документов также есть в Приказе Роскомнадзора № 180.

Шаг 6. Получить согласие на обработку персональных данных

В статье 9 Федерального закона № 152-ФЗ говорится, что обрабатывать любые персональные данные можно только с согласия субъекта. При сборе информации клиентов их согласие — отдельный документ. Они могут подписать его в бумажном виде или дать согласие в электронном формате: например, в форме на сайте.

Работодатель может включать согласие на ОПД в трудовые договоры с сотрудниками. Если в трудовом договоре нет такого пункта, сотрудник должен подписать согласие на обработку персональных данных.

Роскомнадзор опубликовал Разъяснения по вопросам ОПД, в которых представил список исключений, когда не нужно согласие субъекта на работу с личной информацией. Это касается случаев, когда распространение сведений о работниках — требование законодательства. Например, медицинские организации обязаны информировать граждан о своих работниках и их квалификациях. Чтобы разместить на сайте информацию о врачах, работодатель не должен получать их согласие.

Согласие работника не требуется, если работодатель передаёт информацию третьим лицам с целью предотвратить угрозу жизни и здоровью СПД. Например, это правило распространяется на передачу сведений о сотрудниках в СФР.

Работа с персональными данными фиксируется документами на всех этапах. Кроме политики в области ОПД, оператор выпускает другие внутренние нормативные документы, которые регулируют порядок исполнения обязательств. К ним относятся инструкции, положения и правила. Инструкции:

• •

  администратора информационной безопасности

• •

  ответственного за организацию обработки персональных данных

• •

  работников, обслуживающих информационные системы ПД

• •

  по работе с машинными носителями, содержащими ПД

• •

  по применению антивирусных средств защиты

• •

  по учёту лиц, допущенных к работе с ПД

• •

  по физической охране и контролю доступа в помещения

• •

  по проведению инструктажа работников, допущенных к работе с ПД

Положения:

• •

  о комиссии по обеспечению безопасности ПД

• •

  о парольной защите при ОПД

• •

  о порядке уничтожения ПД

• •

  об организации видеонаблюдения

• •

  об ответственности работников, допущенных к ОПД

Правила:

• •

  выявления инцидентов в области безопасности информационных систем

• •

  оборудования помещений, используемых для ОПД

• •

  оценки вреда, который может быть причинён СПД

• •

  рассмотрения обращений СПД

Большинство решений сопровождается распорядительными документами — приказами:

• •

  о назначении администратора информационной безопасности

• •

  о назначении ответственного за организацию ОПД

• •

  о создании комиссии по уничтожению ОПД

• •

  об утверждении комиссии по обеспечению безопасности персональных данных

• •

  об утверждении локальных нормативных актов

• •

  об утверждении перечня должностей работников, которые взаимодействуют с ПД

• •

  об утверждении политики оператора в отношении ОПД

• •

  об утверждении списка помещений, предназначенных для ОПД

Во время работы также составляются акты:

• •

  определения уровня защищённости информационной системы

• •

  оценки вреда, который может быть причинён СПД

• •

  о выявлении нарушений в сфере защиты персональных данных

• •

  об уничтожении ПД

• •

  об уничтожении машинных носителей ПД

Статья 9 Федерального закона № 152-ФЗ регламентирует получение согласия субъекта на следующие действия:

• •

  ОПД

• •

  ОПД несовершеннолетнего

• •

  распространение ПД

• •

  передачу ПД третьей стороне

• •

  получение ПД от третьих лиц

• •

  осуществление видеонаблюдения на рабочем месте

Сотрудники, которые работают с личной информацией, должны:

• •

  подписать обязательство о неразглашении ПД (статья 7 закона № 152-ФЗ)

• •

  пройти первичный инструктаж и расписаться в журнале учёта (статья 18.1 закона № 152-ФЗ)

Кроме журнала учёта ознакомления работников с правилами работы с ПД, компании ведут другие журналы:

• •

  сдачи и приёма помещений под охрану

• •

  учёта лиц, допущенных к работе с персональными данными в информационных системах

• •

  учёта машинных носителей персональных данных

• •

  учёта мероприятий по контролю выполнения требований по  обеспечению безопасности ПД

• •

  учёта нештатных ситуаций

• •

  учёта обращений СПД

• •

  учёта процедур резервного копирования

• •

  учёта средств защиты информации

За нарушение правил ОПД предусмотрено два вида наказаний: компенсация морального вреда (параграф 4 ГК РФ) и штраф (статьи 13.11 и 19.7 КоАП РФ).

Размер компенсации морального вреда определяет суд. Штрафы в рамках КоАП РФ:

Законодательство в области защиты персональных данных регулярно обновляется. Чтобы соблюдать нормы и не получать штрафы, нужно систематически отслеживать изменения.

1

Поделиться