Х

Ваше имя (обязательно)

Телефон или email

Вопрос

Эксперт свяжется с Вами и ответит на все вопросы БЕСПЛАТНО.

Специальное предложение

Х

Ваше имя (обязательно)

Телефон или email

Ваше обращение

Эксперт свяжется с Вами и ответит на все вопросы БЕСПЛАТНО.

Оплата

 

Персональные данные: как работать по закону?

Как правильно работать с персональными данными?

Что входит в обязанности сотрудника, ответственного за обработку персональных данных?

Согласно, ФЗ от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) “О персональных данных”, п.4 ст. 22.1 Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В своей деятельности ответственный сотрудник за организацию обработки персональных данных руководствуется Инструкцией, приказами, положениями и другими документами, регламентирующими защиту персональных данных в организации.

Обязанности сотрудника:

  • выполнять требования нормативных актов, в том числе внутренних инструкций учреждения, о защите персональных данных;
  • организовать и вести обработку персональных данных, в том числе контролировать процедуру уничтожения документов, содержащих персональные данные;
  • составлять и предлагать на утверждение руководству учреждения перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным;
  • осуществлять мероприятия по защите персональных данных в ходе их обработки;
  • блокировать доступ к персональным данным в случае появления угрозы несанкционированного доступа;
  • в случае обнаружения попытки несанкционированного доступа к персональным данным, Ответственный должен: – блокировать доступ к персональным данным; – доложить руководству; – сообщить о произошедшем администратору информационной систему персональных данных (далее – ИСПДн);
  • контролировать: – выполнение мероприятий по защите персональных данных; – режим безопасности ИСПДн; – установку средств защиты информации; – физическую сохранность носителей персональных данных;
  • проводить инструктажи и занятия по изучению правовой базы по защите персональных данных с работниками, имеющими доступ к персональным данным и вести журнал учета инструктажей и занятий;
  • осуществлять контроль за соблюдением работниками организации порядка обработки персональных данных;
  • не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами;
  • оказывать консультационную помощь пользователям ИСПДн по применению средств защиты персональных данных;
  • предлагать мероприятия по совершенствованию работы по защите персональных данных.

Законодательство РФ в области защиты персональных данных работников.

  • Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)
  • Директива Европейского Союза № 95/46/ЕС «О защите данных»
  • Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях
  • Трудовой кодекс РФ от 30 декабря 2001 г. № 197-ФЗ – Глава 14 «Защита персональных данных работника»
  • ФЗ от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
  • ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
  • ФЗ РФ от 25 июля 2011 г. N 261-ФЗ  “О внесении изменений в Федеральный закон “О персональных данных”
  • ФЗ от 30.12.2015 № 439-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”
  • ФЗ от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части уточнения  порядка обработки персональных данных в информационно-телекоммуникационных сетях»
  • Указ Президента РФ от 06 марта 1997 № 188 «Об утверждении перечня сведений конфиденциального характера»
  • Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
  • Распоряжение Президента РФ от 10 июля 2001 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»
  • Постановление Правительства РФ от 03 ноября 1994 № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
  • Постановление Правительства РФ от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 06 июля 2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
  • Постановление Правительства РФ от 15 сентября 2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
  • Приказ ФСТЭК России от 18 февраля  2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

Как обеспечить надежную защиту персональных данных?

В соответствие со ст. 19 ФЗ “О персональных данных” от 27.07.2006 N 152-ФЗ; с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

  • Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
  • Определение перечня мероприятий по защите персональных данных

Технические меры по защите персональных данных предполагают использование программно – аппаратных средств защиты информации. При обработке персональных данных с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных.

Обработка персональных данных. Объём и содержание обрабатываемых персональных данных работника.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Понятие и состав персональных данных.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В содержание персональных данных работника входят:

  • анкетные и биографические данные;
  • образование;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • сведения о социальных льготах;
  • специальность,
  • занимаемая должность;
  • наличие судимостей;
  • адрес места жительства;
  • домашний телефон;
  • место работы или учебы членов семьи и родственников;
  • характер взаимоотношений в семье;
  • содержание трудового договора;
  • состав декларируемых сведений о наличии материальных ценностей;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • подлинники и копии приказов по личному составу;
  • личные дела и трудовые книжки сотрудников;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
  • копии отчетов, направляемые в органы статистики.

Когда нужно и когда не нужно получать согласие сотрудника на обработку персональных данных?

Согласно п. 5 ч 1 ст. 6 ФЗ от 27.07.2006 N 152-ФЗ “О персональных данных” обработка персональных данных допускается для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, …, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В соответствии со ст. 86 ТК РФ, должно быть получено письменное согласие работника на получение персональных данных от третьих лиц, а в соответствии со ст. 87 ТК РФ письменное согласие работника необходимо на сообщение персональных данных работника третьей стороне за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

Случаи, когда не требуется получать согласие работника на передачу персональных данных, приведены в законодательстве и перечислены в разъяснении Роскомнадзора. Так, не требуется согласие работника не передачу персональных данных:

  • в ФСС России и Пенсионный фонд России;
  • в налоговые органы;
  • в военные комиссариаты;
  • в профсоюзные органы (в целях соблюдения трудового законодательства); –
  • в органы прокуратуры (при получении мотивированного запроса);
  • в правоохранительные органы (при получении мотивированного запроса);
  • в органы безопасности (при получении мотивированного запроса);
  • государственным трудовым инспекторам при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства.

Обязанность работодателя предоставлять персональные данные во всех вышеперечисленных случаях обусловлена полномочиями соответствующих органов на получение такой информации. Также рекомендуем предоставлять информацию о работнике в ответ на адвокатский запрос, в том случае, если полномочия адвоката на представление интересов работника подтверждены ордером, выданным соответствующим адвокатским образованием (п.1 ст.6.1 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»).

Получение персональных данных работников, соискателей

Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Согласно п. 1 ст. 9 ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Работодатель обязан представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных – обязанность доказать, что эти данные являлись общедоступными. Согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (статья 9 Закона о персональных данных). Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.

Согласно п. 3 ст. 86 ТК РФ, если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

Порядок организации работ по обеспечению безопасности при обработке и хранении персональных данных работников

Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах Компании должно быть обеспечено:

  • проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным.
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.
  • разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
  • проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.
  • установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.
  • обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.
  • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
  • учет лиц, допущенных к работе с персональными данными в информационной системе.
  • контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
  • разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации

  • обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
  • необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
  • при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
  • лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Компании), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки,

Обязательные документы в организации по персональным данным работников.

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных;
  • -должностные регламенты лиц, имеющих доступ к персональным данным;
  • план внутренних проверок состояния защиты персональных данных;
  • типовые формы документов, предполагающие или допускающие содержание персональных данных;
  • договоры с субъектами персональных данных.

Как организовать работу с персональными данными соискателей?

Обработка персональных данных соискателей

  1. Обработка персональных данных соискателей с целью: — принимать решения о приёме либо отказе в приёме на работу.
  2. Обрабатываются персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.
  3. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу.
  4. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в соглашении.
  5. Работодатель не обрабатывает специальные категории персональных данных соискателей и биометрические персональные данные соискателей.
  6. Работодатель обрабатывает следующие персональные данные соискателей:
  • ФИО;
  • год рождения;
  • дата рождения;
  • номер контактного телефона;
  • адрес электронной почты;
  • образование;
  • трудовой стаж.

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

Какие документы о работе с персональными данными проверит инспектор?

Роскомнадзор проверяет:

  • Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  • Обрабатывающие их системы (компьютеры и программы);
  • Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  • Сайт компании в интернете;

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список:

  • учредительные документы общества (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
  • копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
  • список персональных данных, собираемых и охраняемых вашей компанией;
  • список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
  • инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
  • положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
  • положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
  • положения об особенностях обработки персональных данных, в том числе их обезличивания;
  • документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
  • положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
  • соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
  • бланки согласия граждан на обработку их персональных данных;
  • журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
  • журналы учета всех носителей информации, а также средств защиты информационных систем.

Проверка работы с персональными данными работников контролирующими органами.

Предметом проверки Роскомнадзора являются: деятельность по обработке персональных данных; документы, характер информации в которых предполагает или допускает включение в них персональных данных; информационные системы персональных данных, а не сотрудников компании. Помимо, документов инспекторы могут проверить компьютеры работников, которые ведут базы данных.

Ответственность за нарушение норм, регулирующих защиту персональных данных работников, с учетом изменений с 1 июля 2017 года

с 1 июля 2017 года вступил в силу ФЗ от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП. В частности, он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и существенное увеличение штрафов.

Административная ответственность:

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб.предупреждение или штраф — от 5000 до
10 000 руб.
предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъектаот 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб.от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб.
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до
10 000 руб.
предупреждение или штраф — от 25 000 до 45 000 руб.предупреждение или штраф — от 10 000 до 20 000 руб.
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до
10 000 руб.
от 25 000 до 50 000 руб.от 10 000 до 20 000 руб.
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб.

 

Подготовил юрист ФИОКАН:  Скрынникова Екатерина.


Советуем почитать: