Обработка персональных данных в организации пошаговая инструкция

Всё чаще персональные данные обрабатываются с помощью средств автоматизации, то есть собираются, хранятся, обновляются и применяются. посредством использования электронных сервисов и систем. Таким образом, перед компаниями стоит задача не только соблюдения нормативных требований о получении и обработке персональных данных, но и обеспечения их безопасности и защиты, в том числе на уровне информационных систем персональных данных.

Все юридические лица и индивидуальные предприниматели обязаны соблюдать требования закона «О персональных данных» (№ 152-ФЗ от 27.07.2006 в ред. от 02.07.2021), как только они становятся операторами таких данных.

К операторам персональных данных относят лиц, которые самостоятельно или совместно с другими лицами организовывают и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав обрабатываемых данных, действия или операции с персональными данными.

Чтобы избежать возможных нарушений, уже на момент создания компании или ИП, которые планируют работать с физическими лицами и нанимать работников, необходимо:

1. Определить, с какими персональными данными компания или ИП будет иметь дело.
2. Изучить закон «О персональных данных», требования закона и определить, как и в каких локальных актах закрепить выполнение этих требований.
3. Организовать обработку персональных данных — подготовить, издать и опубликовать необходимые акты, а также создать условия для выполнения действий и операций с персональными данными с соблюдением нормативных требований.
4. Определиться с техническими средствами обработки ПДн, уделив особое внимание защите данных.

Следует избегать шаблонных решений. Они — не более чем ориентир. Желательно, чтобы все вышеперечисленные шаги были сделаны с привлечением кадровых специалистов и юристов. Например, многие компании и ИП считают, что достаточно лишь подготовить политику в отношении обработки ПД и согласие на обработку персональных данных, взяв за основу примеры этих документов из интернета. Действительно, это основные документы, однако в ходе проверки Роскомнадзор может потребовать и другие, которые обязательно должны быть, учитывая специфику работы с персональными данными в проверяемой компании. Могут вызвать претензии и представленные политика обработка ПДн и согласие на их обработку, поскольку они составлены шаблонно и не отражают особенности обработки ПДн у проверяемого лица. Поэтому если своих юристов и кадровиков нет, лучше для подготовки документов привлечь сторонних специалистов или, по крайней мере, показать им самостоятельно подготовленные документы.

Как организовать систему работы с персональными данными и избежать штрафа

Построение системы работы с персональными данными основывается на трёх главных аспектах:

1. Субъектах персональных данных — физических лицах, данные которых предстоит обрабатывать.
2. Категориях персональных данных, с которыми предстоит работать.
3. Нормативно-правовой базе, регулирующей обработку персональных данных тех категорий и тех субъектов, с которыми будет иметь дело компания или ИП.

Многие берут за основу только Федеральный закон «О персональных данных», однако если речь идёт о работниках, нужно учитывать и нормы Трудового кодекса РФ. Если, например, привлекаются фрилансеры, с которыми заключаются договоры гражданско-правового характера, придётся учесть и некоторые положения ГК РФ, в частности об охране частной жизни гражданина и его изображений. Если предстоит обрабатывать биометрические данные, а это специфическая категория ПД, потребуется отдельно изучить нормативные требования, касающиеся обработки биометрии, и учесть её особенности при разработке локальных актов.

Примерный порядок организации системы обработки ПДн:

1. Определяем и назначаем ответственных лиц — тех, кто на первом этапе займётся организацией работы с персональными данными и, возможно, в последующем возьмёт на себя функции контроля. В небольших или средних компаниях обычно эти задачи поручают юристу или кадровому специалисту. В крупных фирмах нередко создаются специальные отделы. ИП зачастую либо сами занимаются всеми вопросами, либо, хотя бы временно, привлекают специалистов на условиях аутсорсинга.
2. Определяем, с какими данными предстоит работать и кто их субъект, а также, какие действия, операции и процессы войдут в обработку персональных данных.
3. Готовим комплект документов. Он будет зависеть от информации, собранной на втором этапе. Политика компании в отношении обработки персональных данных — документ, обязательный в любом случае. Обязательно потребуется подготовить и форму согласия на обработку ПДн, и, возможно, не одну — в зависимости от категорий субъектов персональных данных. Для удобства операторов ПДн Роскомнадзор разработал конструктор такого документа. Подготовленный шаблон можно сразу отправить на проверку в ведомство и получить рекомендации. Кроме того, комплект документов должен включать положение о неавтоматизированной (или автоматизированной) обработке ПДн, приказы о назначении ответственных лиц и других лиц, задействованных в обработке ПДн. Не исключено, что потребуется разработка инструкций для описания процессов и операций.
4. Знакомим с документами под подпись сотрудников, которые назначены ответственными, задействованы в обработке ПДн и непосредственно работают с материалами, документами и сведениями, содержащими персональные данные.
5. Размещаем на информационном стенде, на официальном сайте компании (ИП), в интернет-магазине или других ресурсах, на которых ведётся сбор данных, политику компании в отношении обработки персональных данных. Это основной документ, он должен быть общедоступным.
6. Решаем вопрос о включении компании или ИП в реестр операторов персональных данных. Для этого необходимо в бумажном (почтой) или электронном виде (на сайте или через Госуслуги) направить уведомление в Роскомнадзор.

Практическая сторона вопроса — средства сбора, хранения, использования персональных данных, других процессов их обработки. Здесь многое зависит от уровня технологичности компании или ИП. Но какими бы ни были средства, важно обеспечить надёжность, безопасность, защиту данных. Поскольку преимущественно используются технические средства (компьютеры, программное обеспечение и информационные системы), безопасность также обеспечивается техническим образом. Это могут быть, например, общедоступные антивирусы и межсетевые экраны или более сложные специальные средства защиты от несанкционированного доступа и средства криптографической защиты. Принцип простой: чем больше объём данных и процессов, тем более высокотехнологичной должна быть система информационной безопасности. Задача одна — исключить взлом и утечки информации, случайную утрату сведений или их повреждение (уничтожение).

Эта статья была полезной?

Подключиться

Чтобы подключиться к услуге защиты каналов связи, заполните заявку

Работодатель получает от сотрудников много личных сведений — ФИО, фотографии, адрес проживания, номер телефона, e-mail. Все это персональные данные, при работе с ними нужно соблюдать требования закона.

Если нарушить закон, можно получить серьезные штрафы. Например, если повесить фото сотрудника на доску почета без его разрешения, можно получить штраф от 20 000 ₽.

Здесь собрали нюансы работы с персональными данными сотрудников. Статья будет полезна бизнесу, который только планирует нанять первого работника, работодатели со стажем вряд ли найдут здесь что-то новое.

Далее говорим только про обязанности работодателя в отношении сотрудников.

Чтобы нанять человека на работу, оформить пропуск в офис, подключить к корпоративным базам, начислить зарплату на карту, нужны его персональные данные. Например, ФИО, реквизиты паспорта, номер телефона, реквизиты банковского счета.

Общее требование закона «О персональных данных» — получать личную информацию о человеке можно только с его согласия. Например, когда бизнесу нужен e-mail клиента для отправки ему рассылки, всегда просят подтвердить согласие на передачу данных. Без согласия этого делать нельзя.

А вот у сотрудников бизнесу не всегда нужно получать согласие. Если данные понадобились для целей, которые указаны в законах, — согласие не требуется.

Нельзя без согласия получить у сотрудника больше данных, чем разрешает закон. Например, для оформления трудового договора нужны: паспорт, трудовая книжка, СНИЛС, документы воинского учета, диплом — при условии, что работа требует профильного образования. А вот если работодатель дополнительно захочет посмотреть кредитную историю сотрудника, на это нужно его согласие.

Также согласие нужно, если собираетесь передавать данные работника другим людям, например контрагенту. Но если данные спросит официальное лицо — полицейский, прокурор, Банк России, скорая помощь, — разрешения можно не спрашивать.

Каждый работник должен прочитать положение и подписать лист ознакомления с ним. Далее сотрудник будет подписывать отдельное согласие на обработку данных, если такое понадобится работодателю.

Выбрать ответственного за персональные данные. Этот человек будет отвечать за сбор согласий с работников и хранение данных. Обычно это делает HR компании, но может любой другой работник, директор или ИП. Ответственного назначают приказом в свободной форме.

Подготовить форму согласия на обработку персональных данных. Каждый раз, когда нужны данные работника и закон не предусматривает их получения, нужно получать согласие. О том, как его составить, расскажем ниже.

Обеспечить сохранность данных. Как именно надо хранить данные работников, закон не уточняет. Главное — чтобы они не утекли в сеть или не попали в руки людям, у которых нет прав на доступ к данным. С данными на бумаге проще — их можно хранить в сейфе. А вот сохранность в электронных базах лучше поручить специалистам. Если у вас маленькая компания и нет в штате экспертов по безопасности, можно взять консультацию и как минимум ставить пароли на рабочие компьютеры.

Получить согласие нужно письменно. Составить согласие можно в свободной форме, вот что в нем обязательно:

Нельзя собирать данных больше, чем надо для достижения целей в согласии. Если цель — оформить сотруднику ДМС от компании, нужно получить согласие на передачу только паспортных данных. Запросить заодно медицинские справки нельзя — они не нужны для ДМС.

Если нарушить правила закона «О персональных данных» или 14‑й главы трудового кодекса, работодателя могут оштрафовать. Например, недовольный работник может пожаловаться в Роскомнадзор или прокуратуру.

Штраф зависит от вида нарушения.

Также работник может потребовать в суде компенсацию морального вреда за распространение фактов его частной жизни, например о разводе. Сумму такой компенсации определяет суд.

Собрали частые вопросы работодателей про работу с персональными данными сотрудников.

Распространяются ли эти правила на исполнителей по договорам ГПХ?
Да, но только если вам понадобились дополнительные персональные данные, не нужные для заключения договора. Так, ФИО и реквизиты паспорта можно использовать без согласия. А если, например, человек запросит стандартный вычет по НДФЛ на ребенка, согласие придется оформить — для передачи работодателю ФИО ребенка и реквизитов свидетельства о рождении.

Распространяются ли эти правила на сотрудников-иностранцев? Да.

Нужно ли получать согласие у кандидата на должность? Если нашли резюме в интернете, например на HeadHunter, получать разрешение не надо — человек сам разместил свои данные.

Если пригласили человека на собеседование, надо — обычно кандидаты рассказывают о себе уже больше деталей, чем указали в резюме.

В согласии с кандидатом нужно указать цель получения персональных данных — «для рассмотрения претендента на вакансию». Если кандидат в итоге не подойдет, его данные нужно уничтожить. Если хотите сохранить данные в резерв, нужно также прописать такое условие — «данные будут храниться, если в будущем снова готовы рассмотреть его кандидатуру».

Можно ли уволить сотрудника, если он отказывается подписать согласие на обработку персональных данных? Нет, нельзя. В случаях, когда данные нужны для трудоустройства, работодателю и так не нужно разрешение сотрудника.

Если нужно получить информацию у бывшего работодателя или из университета, нужно ли разрешение кандидата? Да, нужно.

Нужно ли получать согласие, чтобы переводить зарплату на карту? Да, нужно. По закону сотрудник не обязан получать зарплату только на карту.

Если не нашли ответ на свой вопрос, можете спросить в комментариях к статье.

В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

1. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
2. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
   можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

• Физлицо — на 700–2000 рублей.
• Должностное лицо — на 4 000–10 000 рублей.
• ИП — на 10 000–20 000 рублей.
• Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Разработать документы, описывающие порядок работы с персональными данными

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Что будет, если не разработать документы

Можно получить сразу два штрафа:

1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

• 100–500 рублей для физлиц
• 300–500 рублей для должностных лиц.
• 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

• 3 000–5 000 рублей для физлиц.
• 10 000–20 000 рублей для должностных лиц и ИП.
• 15 000–75 000 рублей для юрлиц.

Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

1. Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
2. Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
3. Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
4. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
5. Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.