С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
- Что такое персональные данные
- Оператор по обработке персональных данных
- Положение о работе с персональными данными
- Фрагмент Положения о персональных данных работников
- Если есть профсоюз
- Ознакомление работников с Положением
- Перечень документов по персональным данным в организации
- Что первым проверит Роскомнадзор?
- Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
- С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт
- Что это значит?
- Что нужно делать, чтобы не нарушать закон о персональных данных?
- Какие документы нужно подготовить и где их разместить, чтобы не получить штраф?
- Докажите, что это мой сайт!
- Подготовьте все и спите спокойно)
- Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
- Разберемся с терминами
- Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
- Чем грозит невыполнение требований по обработке персональных данных
- Выводы
- Основные нормативные документы, касающиеся обработки персональных данных
- Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
- Что первым проверит Роскомнадзор?
- Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
- Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?
- 💥 Видео
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
N | Документ | Сведения |
1 | Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) | Анкетные и биографические данные работника |
2 | Копия документа, удостоверяющего личность работника | Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
3 | Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) | Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность |
4 | Трудовая книжка | Сведения о трудовом стаже, предыдущихместах работы |
5 | Копии свидетельств о заключениибрака, рождении детей | Состав семьи, изменения в семейном положении |
6 | Документы воинского учета | Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
7 | Справка о доходах с предыдущегоместа работы | Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
8 | Документы об образовании | Подтверждают квалификацию работника, обосновывают занятие определенной должности |
9 | Документы обязательного пенсионного страхования | Ф.И.О., личные данные |
10 | Трудовой договор | Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
11 | Приказы по личному составу | Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Положение о работе с персональными данными
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.
Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.
Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.
Таблица 2. Структура Положения о персональных данных работников
N | Обязанность | раздела |
1 | Общие положения | Цель принятия Положения |
Вопросы, которые регулирует Положение | ||
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе РоссийскойФедерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ | ||
2 | Основные понятия. Состав персональных данных работников | Основные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
Перечень документов организации, которые содержат персональные данные | ||
3 | Получение персональных данных работников | Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
4 | Использование персональных данных | Цели использования личной информации сотрудников |
5 | Обработка персональных данных | Условия, соблюдаемые при обработке персональных данных работника |
6 | Передача персональных данных (доступ к персональным данным) | Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ) |
7 | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Фрагмент Положения о персональных данных работников
Введение Положения в действие
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Образец приказа
Если есть профсоюз
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.
Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.
Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.
После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
N п/п | Наименование локального нормативного акта | Дата | Подпись |
1 | Правила внутреннего трудового распорядка ООО «Черный лес» |
Видео:Закон 152-ФЗ "О персональных данных": как подготовить документы и сайты к проверке Роскомнадзора.Скачать
Перечень документов по персональным данным в организации
Практическая защита
персональных данных
Ниже приведен список документов, адаптированный для организации (учреждения), в котором обрабатываются только персональные данные сотрудников. Все эти документы Вы можете сгенерировать при помощи нашего онлайн сервиса. Для регистрации в сервисе перейдите по ссылке.
- 20.06.2021
- | Обработка ПДн
- | 415
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.
https://www.youtube.com/watch?v=xLMXntDNBJ0
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
адрес места регистрации и/или проживания;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что первым проверит Роскомнадзор?
Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.
Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.
ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.
Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист.
Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.
Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
- Акт установления уровня защищенности информационных систем персональных данных.
- Акт классификации государственной информационной системы или муниципальной информационной системы.
- Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
- Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
- Журнал регистрации инцидентов информационной безопасности.
- Заключение об оценке вреда субъектам персональных данных.
- Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
- Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
- Инструкция по учёту машинных носителей и регистрации их выдачи.
- Модель угроз.
- Отзыв согласия субъекта персональных данных.
- Перечень информационных систем персональных данных.
- Перечень мероприятий по защите персональных данных.
- План внутренних проверок состояния защиты персональных данных.
- Политика обработки персональных данных.
- Положение об ответственном за организацию обработки персональных данных.
- Положение о порядке обработки персональных данных.
- Положение по работе с инцидентами информационной безопасности.
- Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
- Приказ «О журнале учета посетителей».
- Приказ «О журнале регистрации инцидентов информационной безопасности».
- Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
- Приказ «О назначении ответственного за организацию обработки персональных данных».
- Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
- Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
- Приказ «Об организации мероприятий по защите персональных данных».
- Приказ «Об ответственности за обработку и защиту персональных данных».
- Приказ «Об установлении границ контролируемой зоны объектов информатизации».
- Приказ «Об утверждении мест хранения материальных носителей персональных данных».
- Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
- Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
- Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
- Приказ «Об утверждении форм актов уничтожения персональных данных».
- Приказ «Об утверждении форм согласий на обработку персональных данных».
- Приказ «Об утверждении типовой формы поручения обработки персональных данных».
- Типовая форма поручения обработки персональных данных.
- Уведомление об обработке персональных данных.
Видео:Изменения в обработке персональных данных с 01 марта 2023 годаСкачать
С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт
/ Блог / Просто о сложном / С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт
Большинство владельцев сайтов хоть краем уха, но слышали о нарушении законодательства в области персональных данных. Если ранее большое количество владельцев сайтов закон проигноировали, теперь с ним придется считаться.
7 февраля этого года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2021 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
https://www.youtube.com/watch?v=n_jgRNKgdvo
Исполнение закона поручено Роскомнадзору, который сейчас активно блокирует сайты в соответствии с другими законами, а значит и за исполнение этого примется.
Что это значит?
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
За отсутствие на сайте политики конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а ООО — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.
Что нужно делать, чтобы не нарушать закон о персональных данных?
Что делать? | Как? |
получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных | Во всех формах обратной связи на сайте поставить галочку по умолчанию: «Согласен на обработку персональных данных.». Без галочки форма не должна отправляться. |
публиковать в открытом доступе информацию о работе с персональными данных клиентов и посетителей | Составить текст «Политики конфиденциальности» (или взять на другом сайте с аналогичными вашим целями и задачами по сбору данных, доработав под себя) и разместить на сайте. |
запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте | Проверить все формы и анкеты на сайте на предмет лишних данных. Удалить ненужные поля. |
использовать данные только для тех целей, которые указаны в документах и о которых пользователя предупредили; | Не передавать никому свои клиентские базы. Не использовать не по назначению. |
сообщать по запросу пользователя, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали | Организовать единую систему хранения данных внутри компании. Научить сотрудников, работающих с данными, ей пользоваться. |
удалять по первому требованию данные любые персональные данные, которые у вас имеются о пользователе; | В рассылках в обязательном порядке реализовать возможность отписаться от рассылки. |
зарегистрироваться в Роскомнадзоре. Он внесет информацию об операторе в общий реестр и будет выдавать по запросу. | Необходимо подать уведомление онлайн на сайте Роскомнадзора. Началом деятельности в качестве оператораперсональных данных, укажите дату регистрации компании. |
Какие документы нужно подготовить и где их разместить, чтобы не получить штраф?
Четкого перечня документов Законодательством не предусмотрено, при этом их должно быть достаточно для выполнения обязанностей, предусмотренных Законом о персональных данных.
Ниже представлен перечень документов, которые могут потребовать контролеры из Роскомнадзора:
- Документы, подтверждающие исполнение оператором ПДн требований статьи 22 ФЗ №152:
- Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных.
- Положения, приказы и иные документы, регламентирующие обработку ПДн:
- Перечень ПДн и иных объектов, подлежащих защите,
- Политика в отношении обработки ПДн (общедоступная, на сайте),
- Положение о коммерческой тайне,
- Положение об обработке и защите персональных данных работников,
- Положение об обработке и защите персональных данных клиентов,
- Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных,
- Приказ о допуске сотрудников к обработке ПДн.
- Документы и приказы, регламентирующие вопросы проектирования системы защиты ПДн:
- Положение о мерах по организации защиты информационных систем персональных данных (ИСПДн),
- Модель угроз,
- Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн),
- План мероприятий по обеспечению безопасности ПДн,
- Перечень ИСПДн,
- Приказ о проведении анализа угроз безопасности ПДн.
- Положения, приказы и иные документы, регламентирующие вопросы обеспечения информационной безопасности (ИБ):
- Положение об организации режима безопасности помещений, где осуществляется работа с ПДн (инструкция),
- Положение об антивирусной защите,
- Положение о парольной защите,
- Инструкция по проведения антивирусного контроля в информационной системе персональных данных,
- Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн,
- Положение о порядке хранения и уничтожения носителей ПДн,
- Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных,
- Регламент проведения инструктажа по информационной безопасности,
- План внутренних проверок режима защиты персональных данных,
- Должностные инструкции и шаблоны форм документов, акты и договора, касающиеся обработки ПДн:
- Должностные инструкции сотрудников, обрабатывающих ПДн
- Должностные инструкции сотрудников, обеспечивающих ИБ
- Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций
- Соглашения о неразглашении работниками персональных данных
- Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн
- Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные
- Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных
- Типовая форма ответа Субъекту персональных данных на его запрос
- Акты об уничтожении персональных данных субъекта(ов) персональных данных
- Договора с третьими лицами, которым Вы передаете персональные данные на обработку, или договора с операторами ПДн, которые передают Вам, как третьему лицу,персональные данные для их обработки (например: договора транспортными компаниями, с банками, страховыми компаниями и т.п.). Такие договора должны содержать перечень операций с ПДн, которые будут совершаться третьим лицом, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных.
- Документы, подтверждающие Ваше право обработки персональных данных. Например, согласие субъекта ПДн, договор с субъектом ПДн, договор с оператором ПДн, покоторому Вы являетесь третьим лицом, которому оператор ПДн поручает обработку ПДн.
- Журналы, обязательные к ведению в делопроизводстве, связанном с обработкой персональных данных:
- Журнал инструктажа сотрудников по вопросам ИБ,
- Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов,
- Журнал учета носителей информации информационной системы персональных данных,
- Журнал учета съемных и мобильных носителей информации,
- Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах,
- Журнал учета применяемых технических средств защиты ИСПДн,
- Журнал учета мероприятий по контролю обеспечения защиты персональных данных,
- Электронный журнал обращений пользователей информационной системы к ПДн,
- Журнал периодического тестирования средств защиты информации,
- Журнал по учету мероприятий по контролю государственными и муниципальными органами.
Здесь вы можете скачать все необходимые документы: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/instrukcija_administratora_ispdn/ — если знаете точно, какие документы вам нужны.
https://www.youtube.com/watch?v=bJg-QYCAqEM
Этот пакет документов необходимо хранить в распечатанном виде. Все инструкции и регламенты должны быть подписаны сотрудниками.
Докажите, что это мой сайт!
Достаточно распространенный вопрос – как будет установлено, что сайт принадлежит компании, если доменное имя и хостинг оформлены на частное лицо.
Если отсутствует договор, то напрямую данную информацию установить невозможно. Принадлежность сайта можно установить только по косвенным признакам. Например, по указанной на сайте информации, относящейся к вашей компании (адрес, телефонный номер и так далее). Сайт могут заблокировать на время проверки принадлежности компании.
Подготовьте все и спите спокойно)
Все перечисленное может вам и не пригодиться, Роскомнадзор может и не прийти к вам с проверкой. Но, если проверка будет организована, а у вас не окажется нужных документов это чревато штрафами и блокировкой сайта сроком до 90 дней. А это повлечет за собой очень серьезные последствия для вашего бизнеса.
В качестве иллюстрации к статье используется афиша к художественному фильму Snowden, 2021
x
Продолжить
Видео:Персональные данные 2023. Обработка, учет, ведение документов по требованиям Роскомнадзора и ФЗ 152Скачать
Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.
Rawpixel
Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.
Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.
Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».
Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.
Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.
Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.
Разберемся с терминами
Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.
Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.
Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.
Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.
Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.
https://www.youtube.com/watch?v=AtFazM-xeH0
При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» — всегда =)
- Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
- Вы собираете данные клиентов для заключения договоров/выполнения заказов.
- На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.
Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.
Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.
Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.
Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.
Шаг 2. Модель угроз и классификация информационных систем
Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.
Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.
Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.
Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.
Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).
Шаг 3. Меры защиты персональных данных
После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.
- Антивирусная защита
- Модули разграничения доступа на уровне прикладных систем или сети.
- Назначаем ответственного за защиту персональных данных
- Утверждаем перечень обрабатываемых и защищаемых данных.
- Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.
На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.
- Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.
Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.
- Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.
Подробнее о таких случаях — тут.
- Электронное согласие. В остальных случаях, достаточно электронного согласия.
Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.
Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.
Шаг 4. Отправка уведомления в Роскомнадзор
Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.
https://www.youtube.com/watch?v=sT2fcdN6SwE
Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.
Чем грозит невыполнение требований по обработке персональных данных
Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?
Разберем самые распространенные нарушения:
Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.
Выводы
Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.
Основные нормативные документы, касающиеся обработки персональных данных
Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.
Написать
Видео:Почему нужно отозвать согласие на обработку персональных данныхСкачать
Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.
https://www.youtube.com/watch?v=xLMXntDNBJ0
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
ФИО;
дата рождения;
паспортные данные;
адрес места регистрации и/или проживания;
контактная информация;
номер ИНН;
номер СНИЛС;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что первым проверит Роскомнадзор?
Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.
Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.
ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.
Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист.
Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.
Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
- Акт установления уровня защищенности информационных систем персональных данных.
- Акт классификации государственной информационной системы или муниципальной информационной системы.
- Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
- Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
- Журнал регистрации инцидентов информационной безопасности.
- Заключение об оценке вреда субъектам персональных данных.
- Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
- Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
- Инструкция по учёту машинных носителей и регистрации их выдачи.
- Модель угроз.
- Отзыв согласия субъекта персональных данных.
- Перечень информационных систем персональных данных.
- Перечень мероприятий по защите персональных данных.
- План внутренних проверок состояния защиты персональных данных.
- Политика обработки персональных данных.
- Положение об ответственном за организацию обработки персональных данных.
- Положение о порядке обработки персональных данных.
- Положение по работе с инцидентами информационной безопасности.
- Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
- Приказ «О журнале учета посетителей».
- Приказ «О журнале регистрации инцидентов информационной безопасности».
- Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
- Приказ «О назначении ответственного за организацию обработки персональных данных».
- Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
- Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
- Приказ «Об организации мероприятий по защите персональных данных».
- Приказ «Об ответственности за обработку и защиту персональных данных».
- Приказ «Об установлении границ контролируемой зоны объектов информатизации».
- Приказ «Об утверждении мест хранения материальных носителей персональных данных».
- Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
- Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
- Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
- Приказ «Об утверждении форм актов уничтожения персональных данных».
- Приказ «Об утверждении форм согласий на обработку персональных данных».
- Приказ «Об утверждении типовой формы поручения обработки персональных данных».
- Типовая форма поручения обработки персональных данных.
- Уведомление об обработке персональных данных.
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?
Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.
https://www.youtube.com/watch?v=N_jkyFiDpS8
Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.
💥 Видео
Работа с персональными данными в 2023 году: новые требования и оборотные штрафыСкачать
Отказ принять запрет на обработку персональных данных Еламед Рязань. Нарушен152-ФЗ "О персон. данн."Скачать
Пакет документов по персональным данным в БеларусиСкачать
Обработка персональных данных от А до ЯСкачать
Как правильно составить согласие на обработку персональных данных в организацииСкачать
Защита персональных данных на предприятии Что нужно знать ответственному за ПДнСкачать
Организационно-распорядительная документация в соответствии 152-ФЗ «О защите персональных данных»Скачать
типовая ошибка при передаче документов или как допустить утечку персональных данных в компанииСкачать
Согласие. Обработка персональных. Как не подписатьСкачать
Документы по защите персональных данных работника – порядок разработки, согласования, утвержденияСкачать
Персональные данные работников: что меняется в обработке в 2023 годуСкачать
Требования по хранению персональных данных на бумажных носителях в организацииСкачать
Организация защиты персональных данныхСкачать
Уведомление в Роскомнадзор об обработке персональных данных с 1 сентября 2022 годаСкачать
№152-ФЗ «О персональных данных»Скачать
Обработка персональных данных 152-ФЗ: что важно знать в 2022 годуСкачать