Разъяснения Роскомнадзора по порядку защиты персональных данных

Земельное право

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Разъяснения Роскомнадзора по порядку защиты персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных
2. Как и когда нужно уведомлять Роскомнадзор
3. Как передать обработку ПД третьим лицам
4. Передача персональных данных за границу
5. Является ли ваша организация оператором персональных данных?
6. Зачем формировать пакет документов?
7. Профессиональная разработка
8. Определение уровня защищенности
9. Что такое персональные данные
10. Организация защиты персональных данных
11. Какие документы нужны для обработки персональных данных?
12. Виды ответственности за нарушения в работе с персональными данными

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Читайте также:  Поиск штрафов ГИБДД по номеру водительского удостоверения или номеру СТС

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

  1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
    • сотрудников фирмы;
    • при заключении договоров;
    • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
  2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
  3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
  4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
  5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

    Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

    Чаще всего это:

    • регламент обработки данных;
    • правила компании по подбору персонала;
    • введение пропускного режима;
    • перечень мест хранения данных;
    • регламент уточнения, уничтожения ПДн.
  6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
  7. Утвердить перечень сотрудников, которые допущены к работе с информацией.

Зачем формировать пакет документов?

Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:

  • упорядочивания текущих операций;
  • назначения ответственных лиц;
  • внутреннего отслеживания процессов;
  • предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
  • поддерживать имидж надежной организации в глазах клиентов и партнеров;
  • избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.
Читайте также:  Максимальный доход семьи для получения субсидии 2023

Профессиональная разработка

Поскольку с ПДн сейчас работает подавляющее большинство организаций, найти типовые формы документов, регулирующие операции с персональными данными, несложно. Большинство шаблонов можно найти на официальных сайтах ФСТЭК, Роскомнадзора и ФСБ, но использовать их без адаптации нельзя.

Каждый бизнес имеет свою специфику, в частности, отличается количество и категория субъектов ПДн, виды совершаемых действий с личными сведениями, характеристики созданной информационной системы и т.д. Поэтому необходимо разрабатывать организационно-распорядительную документацию в индивидуальном порядке, причем разумнее всего будет довериться в данном вопросе специалистам нашего Центра, которые осведомлены о последних законодательных изменениях и готовы помочь привести фирму в полное соответствие с ФЗ-152. Сотрудничество с нами будет особенно выгодным для представителей малого и среднего бизнеса, которые не могут себе позволить тратить массу ресурсов на решение подобных вопросов.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N Документ Сведения
1 Анкета, автобиография, личный
листок по учету кадров
(заполняется при приеме на
работу)		 Анкетные и биографические данные
работника
2 Копия документа,
удостоверяющего личность
работника		 Ф.И.О., дата рождения, адрес
регистрации, семейное положение,
состав семьи
3 Личная карточка (форма N Т-2,
утверждена Постановлением
Госкомстата России
от 05.01.2004 N 1)		 Ф.И.О. работника, место его рождения,
состав семьи, образование, а также
данные документа, удостоверяющего
личность
4 Трудовая книжка Сведения о трудовом стаже, предыдущих
местах работы
5 Копии свидетельств о заключении
брака, рождении детей		 Состав семьи, изменения в семейном
положении
6 Документы воинского учета Информация об отношении работника к
воинской обязанности, необходимая
работодателю для осуществления
воинского учета работников
7 Справка о доходах с предыдущего
места работы		 Ф.И.О., данные о сумме дохода и
удержанного НДФЛ
8 Документы об образовании Подтверждают квалификацию работника,
обосновывают занятие определенной
должности
9 Документы обязательного
пенсионного страхования		 Ф.И.О., личные данные
10 Трудовой договор Сведения о должности работника,
заработной плате, месте работы,
рабочем месте, а также иные
персональные данные работника
11 Приказы по личному составу Информация о приеме, переводе,
увольнении и иных событиях,
относящихся к трудовой деятельности
работника
Читайте также:  Земельный налог в России: кому положены льготы и кто освобождается от уплаты

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

  • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
  • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
  • соответствии паролей международным стандартам;
  • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

Какие документы нужны для обработки персональных данных?

Статья 87 и пункт 8 статьи 86 ТК РФ регулируют порядок обработки персональных данных сотрудников. Тем не менее, конкретный перечень документов не установлен, поэтому работодатель может утвердить локальный акт. Название для документа выбирается самостоятельно. Например, положение о работе с персональными данными работников. При этом коллектив нужно под подпись ознакомить с этим документом.

В дополнение к такому документу разрабатывается политика в отношении защиты и обработки персональных данных. Он, например, понадобится, если на вашем сайте регистрируют пользователей или клиентов. Документ размещается в том месте, где, собственно, идет сбор данных. Он составляется с целью рассказать пользователям, какие меры принимает организация, чтобы защитить персональные данные. В документе Роскомнадзор рекомендует указывать основные понятия, цели обработки персональных данных, основания, категории обрабатываемых данных, порядок и условия их обработки, права и обязанности субъектов данных и так далее.

Виды ответственности за нарушения в работе с персональными данными

За нарушения в работе с персональными данными предусмотрены разные виды ответственности: дисциплинарная, материальная, административная и даже уголовная.

Дисциплинарная ответственность может наступить для сотрудников, нарушивших правила работы с персональными данными. Это регулирует статья 192 ТК.

Если в результате неосторожных действий при работе с персональными данными, организации нанесен прямой ущерб, то в соответствии со статьей 238 ТК сотрудник привлекается к материальной ответственности.

При обнаружении нарушений при проверке Роскомнадзор вправе оштрафовать организацию в соответствии со статьями 13.11 и 13.14 КоАП. Размер штрафов зависит от вида нарушения. Для граждан, должностных лиц и организаций предусмотрены разные суммы.

Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.

Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.

Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!

Почему же так много документов, и что в них должно содержаться? Давайте разбираться.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *