Персональные данные: как правильно организовать обработку и избежать нарушений

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: как правильно организовать обработку и избежать нарушений». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Что относится к персональным данным работника

Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.

К персональным данным относятся:

• фамилия, имя, отчество;
• пол, возраст;
• паспортные данные, СНИЛС, ИНН;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• номер телефона или электронная почта;
• прочие сведения, которые могут идентифицировать человека.

Передача персональных данных за границу

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Соблюдение требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» ¹ обеспечивается комплексом организационных и технологических мероприятий. В реализации организационных мер активную роль играют службы делопроизводства и кадров. В связи со вступлением в силу с 1 марта 2021 года изменений в Закон № 152‑ФЗ служба делопроизводства может стать активным участником внутренних процедур аудита системы работы с персональными данными в организации.

Во-первых, вместе с первым руководителем необходимо проверить актуальность приказа о назначении ответственного за организацию работы с персональными данными, поставить его на контроль по сроку действия (с напоминанием 1 раз в полгода о поддержании приказа в актуальном состоянии при смене персоналий). Таким ответственным назначается, как правило, заместитель руководителя организации, и в случае его смены необходимо будет издание нового приказа.

Во-вторых, совместно с уполномоченным заместителем, кадровой службой и даже экспертной комиссией организации по работе с конфиденциальной информацией и документами (образуется, как правило, в крупных организациях) надо решить вопрос:

• о включении в Перечень конфиденциальной информации и документов конкретного списка обрабатываемых и распространяемых (с согласия работников) персональных данных (включая биометрические, особенно личные фото) или
• о разработке в плановом порядке отдельного Перечня персональных данных, в котором необходимо закрепить категории и конкретный список персональных данных, обработку которых работник разрешает (путем оформления согласия) или обработка которых запрещена (с указанием срока действия).

Далее на основе Перечня и с учетом положений о структурных подразделениях (отделах и пр.) и должностных инструкций, которые также подлежат регулярному обновлению, необходимо проверить актуальность приказа о назначении ответственных за обработку персональных данных работников организации. В такой приказ включаются:

• кроме сотрудников кадровой службы,
• бухгалтерии и
• службы делопроизводства
• еще и руководители структурных подразделений,
• а при необходимости – ​их заместители и секретари подразделений, т. к. они тоже должны получить права доступа к персональным данным работников своих подразделений, о чем работники должны быть уведомлены.

В связи с функциями кадровой службы, бухгалтерии и ИТ-отдела рекомендуем проверить актуальность приказа об утверждении мест хранения материальных носителей персональных данных и соответствующих ответственных за хранение.

Изменения в Закон № 152‑ФЗ – ​хороший повод проверить актуальность действующих в организации локальных нормативных актов об обработке и защите персональных данных:

• начиная с обязательно публикуемой на сайте Политики обработки и защиты персональных данных, в которой заявляются обязательства оператора,
• и заканчивая Правилами формирования и ведения личных дел, которыми руководствуется кадровая служба (лучше регламентировать этот процесс, если у вас ведутся личные дела).

В Политику необходимо внести актуальные изменения о «разрешенных субъектом персональных данных для распространения» вместо «общедоступных» персональных данных, которые сделал свободно распространяемыми сам субъект.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Можно ли использовать чужой документ «Политика по обработке персональных данных» вместо составления собственного?

В поисках наиболее простого выхода из ситуации многие компании пользуются образцами — шаблонами документов, которые возможно найти в Сети. Это не запрещено, но рискованно, поскольку у каждого бизнеса есть определенная специфика, и то, что подходит одному предприятию, необязательно будет подходить другой организации. За ошибки придется дорого заплатить в прямом смысле слова, поэтому целесообразнее разрабатывать как политику компании в отношении обработки персональных данных, так и остальные документы «с нуля». Для этого нужно будет:

• проанализировать работу фирмы в контексте ФЗ-152;
• внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
• просмотреть (не копировать) документы фирм с аналогичной специализацией;
• составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.

Категории персональных данных

Персональные данные делятся на категории:

• общая;
• специальная;
• биометрические данные;
• обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

• отпечатки пальцев;
• ДНК;
• сканирование сетчатки;
• распознавание радужки.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• — листе ознакомления с Положением (образец на с. 91);
• — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

Таблица 1. Документы, в которых содержатся персональные данные работников

 N 

 Документ 

 Сведения 

 1 

Анкета, автобиография, личный 
листок по учету кадров 
(заполняется при приеме на 
работу) 

Анкетные и биографические данные 
работника 

 2 

Копия документа, 
удостоверяющего личность 
работника 

Ф.И.О., дата рождения, адрес 
регистрации, семейное положение, 
состав семьи 

 3 

Личная карточка (форма N Т-2, 
утверждена Постановлением 
Госкомстата России 
от 05.01.2004 N 1) 

Ф.И.О. работника, место его рождения,
состав семьи, образование, а также 
данные документа, удостоверяющего 
личность 

 4 

Трудовая книжка

Сведения о трудовом стаже, предыдущих
местах работы 

 5 

Копии свидетельств о заключении
брака, рождении детей 

Состав семьи, изменения в семейном 
положении 

 6 

Документы воинского учета 

Информация об отношении работника к 
воинской обязанности, необходимая 
работодателю для осуществления 
воинского учета работников 

 7 

Справка о доходах с предыдущего
места работы 

Ф.И.О., данные о сумме дохода и 
удержанного НДФЛ 

 8 

Документы об образовании 

Подтверждают квалификацию работника, 
обосновывают занятие определенной 
должности 

 9 

Документы обязательного 
пенсионного страхования 

Ф.И.О., личные данные 

 10

Трудовой договор 

Сведения о должности работника, 
заработной плате, месте работы, 
рабочем месте, а также иные 
персональные данные работника 

 11

Приказы по личному составу 

Информация о приеме, переводе, 
увольнении и иных событиях, 
относящихся к трудовой деятельности 
работника 

Образец листа ознакомления с локальными нормативными актами

 N 
п/п

 Наименование локального нормативного акта 

 Дата 

 Подпись

 1 

Правила внутреннего трудового распорядка 
ООО "Черный лес" 

03.10.2011

Евстахов

 2 

Положение об оплате труда, премировании и 
социальном обеспечении сотрудников ООО "Черный 
лес" 

03.10.2011

Евстахов

 3 

Инструкция по информационной безопасности, 
утвержденная Приказом от 15.06.2008 N 1 

03.10.2011

Евстахов

 4 

Положение о персональных данных 

03.10.2011

Евстахов

 5 

Положение о материальной ответственности 
работников за ущерб, причиненный ООО "Черный лес"

03.10.2011

Евстахов

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

 Нарушение 

 Ответственность 

 Норма 
законодательства

Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных) 

Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб. 

Статья 13.11
КоАП РФ 

Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей 

Для должностных лиц:
от 4000 до 5000 руб.

Статья 13.14
КоАП РФ 

Политика конфиденциальности

Тут еще какие бывают ошибки. У многих организаций на сайте встречается документ, который называется «Политика конфиденциальности». Это неправильно – закон говорит, что документ «в отношении обработки персональных данных». А конфиденциальность – всего лишь один из элементов обработки персональных данных – соблюдение режима конфиденциальности, поэтому документ должен называться «Политика в отношении обработки персональных данных». Как я уже говорил, по поводу электронной формы заполнения на сайте, если к вам субъект обращается через сайт, прикрепите эту «Политику…» к этой форме. То есть, пока человек не проставит галочку, что он ознакомлен, кнопка «Отправить» не всплывает. Как только человек поставил «галочку» – «Я ознакомлен», прочитал ли он ее на самом деле, это уже его проблемы. Тем самым вы снимаете с себя возможные претензии.

Второй документ, тоже определяющий политику оператора персональных данных, являющимся локальным актом по вопросам об обработке персональных данных — так называемое «Положение об обработке персональных данных». Этот документ уже подробный, и направлен вовнутрь организации. В нем подробно расписываются все действия с персональными данными, которые совершаются в организации, чего нельзя допускать и так далее. То есть, фактически, расписывается вся работа с персональными данными, и этот документ составлен уже для сотрудников организации.

Во-первых, все сотрудники должны под ведомость быть с этим положением ознакомлены, приложением к этому документу является ведомость ознакомления. И в нем уже прописывается буквально все, вплоть до того, какие технические средства в организации применяются. К техническим средствам мы тоже сейчас перейдем. И прописываются моменты вплоть до того, что, вот, если вы, например, сидите на первом этаже, в положении должно быть прописано, что экраны мониторов не могут быть повернуты к окну, чтобы посторонний человек не мог из окна заглянуть и получить, соответственно, доступ к тем персональным данным, которые в этом компьютере обрабатываются. Я понимаю, как это звучит, но, тем не менее. В этих положениях прописывается вплоть до того, что нельзя вводить персональные данные в компьютер под диктовку, дабы никто с улицы мимо проходящий не мог все это дело услышать. Ну, вот до таких, действительно, подробных моментов. То есть, прописываются подробно все эти моменты, как осуществляется работа с персональными данными в вашей организации.

К этому «Положению обработки персональных данных» необходимо приложить обязательство о неразглашении, которое также обязаны подписать все сотрудники. В этом заинтересована сама организация – в случае, если такое обязательство сотрудниками получено, в случае, если по неумышленному или, наоборот, злонамеренному умыслу кто-то из сотрудников разгласил персональные данные, то, если он давал обязательство, соответственно, организация может ответственность переложить на этого нерадивого сотрудника. Если эти обязательства с сотрудников не брались, полнота ответственности ложится на саму организацию. Поэтому тоже важно.

Изданный в организации документ должен быть доступен для ознакомления всем работникам. На практике обычно он размещается на специальном стенде, где доступ к нему имеют и работники, и посетители.

Знайте! Закон предусматривает возможность любого гражданина направить в организацию запрос относительно того, ведет ли она обработку его данных. Также он вправе узнать, как и с какой целью осуществляется этот процесс. Также законодатель позволяет физическому лицу установить запрет на обработку его личной информации.

Получив от субъекта персональных данных любой запрос или запрет подобного рода, оператор обязан дать ему обоснованный ответ. Более подробно эти моменты рассмотрены в статьях 20 и 21 Закона № 152-ФЗ.

Похожие записи:

• Основания и порядок расторжения договора
• Как и где получить выписку с лицевого счета квартиры
• Как учитывается согласие ребенка на усыновление: ответы на вопросы