Персональные данные защита

Федеральный Закон постоянно совершенствуется и меняется, чтобы наши свобода и права, а также частная жизнь были всегда защищены, а все подступы к персональным данным охранялись тысячью замками. Но что же это такое – персональные данные? Что находится в общем доступе и кто имеет право запрашивать их? Есть ли закон, регулирующий неразглашение личных данных?

Что относится к персональным данным?

Персональные данные (далее ПД) – это всякая информация, которая непосредственно имеет отношение к определенному физлицу.

Физического лица

К ПД простых граждан относятся:

  • ФИО;
  • информация о месте и дате рождения;
  • местожительство;
  • данные, изложенные в паспорте;
  • СНИЛС;
  • льготы физлица.

Работника

К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.

Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения.

А именно:

  • данные, указанных в паспорте;
  • СНИЛС;
  • воинский учет;
  • имеющееся образование;
  • заполненная анкета, которая выдается сотруднику при трудоустройстве;
  • договоре о трудоустройстве.

Кроме того сведения о трудовом соглашении и прекращении трудовой деятельности:

  • данные приказов, в которых говорится об увеличении зарплаты, поощрениях, начале работы и увольнении, переводах;
  • объяснительные письма, заявления работника;
  • документы, свидетельствующие о повышении классификации, прохождении собеседования сотрудником.

Муниципального служащего

Согласно ФЗ от 02.03.2007 N 25-ФЗ (ред. от 03.04.2017) «О муниципальной службе в Российской Федерации» статья 29, к ПД муниципального служащего относятся:

  • некоторые данные, взятые из биографии;
  • сведения, изложенные в паспорте;
  • данные о специальности, квалификации;
  • информация о выслуге лет и стаже;
  • о составе семьи и семейном положении;
  • воинская обязанность;
  • зарплата и льготы;
  • наличие или отсутствие судимости;
  • местожительство и телефонный номер;
  • договор о трудоустройстве;
  • заявления, которые были предоставлены и подавались налоговой;
  • информация о здоровье.

Гражданского служащего

Согласно ст.24 ФЗ от 27.07.04г. N 79-ФЗ «О государственной гражданской службе РФ», поступающему на работу лицу необходимо предоставить в инспекцию следующие ПД:

  • заявление о начале рабочей деятельности или поступлении на гражданскую службу, сюда же относится заявление о замене отсутствующего сотрудника;
  • сведения о зарплате;
  • анкета, которая выдается сотруднику при трудоустройстве;
  • СНИЛС;
  • трудовую книжку;
  • копия свидетельства о постановке на учет физлица в налоговом органе по местожительстве в РФ;
  • адреса из Интернет-ресурсов, на которых госслужащий размещал информацию, имеющую общий доступ;
  • сведения об специальности, опыте работы, повышении квалификации;
  • при заключении соглашения, может потребоваться предоставление иных документов.

Передача ПД третьим лицам может осуществляться только с написанного разрешения их владельца, исключая те случаи, когда этого требует ФЗ.

Коммерческой тайной зарплата являться не может из-за того, что она относится к системе оплаты труда. Но это не исключает ее из списка ПД, за распространение которых работника могут уволить согласно Трудовому Кодексу.

И если сотрудник начнет оспаривать это решение в суде, то работодатель обязан доказать, что разглашенная информация относится к тайне, сведения которой сотрудник обязывался никому не сообщать.

Виды

Типы персональных данных можно классифицировать по:

  • Заложенному в них содержанию:

    • Разряд, в который входит перечень, указанный в ст.10: раса, принадлежность к нации, религия, здоровье, личная жизнь, политические убеждения.

    При этом согласно ФЗ-152 здесь существуют ограничения, а именно, доступ может быть осуществлен только с письменного разрешения владельца.

  • Виду и цели обработки персональных данных:

    • Что значит обработка персональных данных читайте в нашей статье.

    ПД физиологического характера, которые позволяют оператору определить личность их владельца.

    Заграничное распространение ПД. Такой вид распространения информации можно разделить на три типа:

  1. страны, относящиеся к Конвенции Совета Европы (КСЕ);
  2. страны, не относящиеся к КСЕ, но осуществляют комплекс мер, направленный на защиту прав о ПД;
  3. страны, относящиеся к КСЕ и не осуществляют комплекс мер, направленный на защиту прав о ПД.

Если данные передаются последней группе, то необходим законный предлог, подкрепленный законом, или согласие владельца, или серьезный повод для сохранения интересов самого владельца.

Передача ПД в государственные информационные системы и муниципальные информационные системы. Здесь обработка проходит согласно функционирующим ФЗ.

Обработка ПД при политических выступлениях или при продвижении каких-либо товаров, услуг или работ. Ограничения, контролируемые ФЗ: несмотря на приобретение информации из источников, которые являются публичными, нужно указание на соглашение владельца, изложение которого возможно и не в письменном виде. к содержанию

Специальные категории

Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

  • Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
  • Обработка ПД, перечисленных в пункте 1, допускается.

    • Но при условии, если:

  1. на обработку ПД получено письменное разрешение от их владельца;
  2. они общедоступны;
  3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
  4. она необходима при осуществлении судебных мер;
  5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
  • Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
  • Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.

    • Какие являются общедоступными?

    Сам факт включения ПД в категорию «общедоступных» возможен только после письменного соглашения их владельца.

    К данным общего доступа могут относиться (с учетом пункта 1) следующее:

    • ФИО;
    • Год и место рождения;
    • местожительство и др.

    При утрате индивидуальности ПД в разрешении их владельца во внесение сведений в общий доступ нет необходимости. Все сведения изымаются из общего доступа ПД по требованию самого владельца или по решению суда, а также других госорганов.

    Информационная система персональных данных и оператор – что это?

    Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

    Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

    Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

    Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

    Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

    Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

    Средства защиты и охраны персональных данных

    Надежность ПД обеспечивается:

    • установлением рисков при обработке ПД в ИС;
    • постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
    • процедура совершенствования средств и результативности защиты;
    • постоянное рассмотрение машинных носителей ПД;
    • мгновенное установление неразрешенного проникновения;
    • восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
    • фиксация и учет всех действий, которые совершаются в ИС;
    • используется сотрудничество с вневедомственной охраной;
    • база данных защищена паролями, известными только людьми, у которых есть право доступа;

    Образец согласия на предоставление персональных данных

    Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.

    Если вам необходимо составить согласие о предоставлении своих ПД, то в письменной форме вы должны указать следующее:

    • ФИО, местожительства, данные, изложенные в паспорте;
    • ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
    • наименование или ФИО оператора, который получает согласие;
    • цели, из-за которых производится обработка ПД;
    • перечень ПД, на доступ к которым вы даете согласие;
    • наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
    • период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
    • подпись владельца ПД.

    Отказ в предоставлении третьим лицам

    ФЗ-N152 «О персональных данных» начал действовать с 2006г., но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».

    И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.

    Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.

    Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.

    Приложите к отказу свою копию паспорта и кредитного договора: это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.

    Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.

    Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.

    Образец заявление на отзыв персональных данных скачивайте здесь.

    Изменение персональных данных работника

    Заявление работника о внесении изменений в документы

    Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

    Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

    К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

    Приказ о внесении изменений в документы

    Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

    Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
    Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

    Уведомление об обработке персональных данных

    Очень частой ошибкой операторов производить уведомление об обработке ПД, когда можно было этого не делать. И если вы всё-таки решили уведомить Роскомнадзор, то вот несколько рекомендаций:

    • Очень внимательно ознакомьтесь с ч.2 ст.22 ФЗ РФ от 27.07.06г. N 152-ФЗ «О персональных данных».
    • Посмотрите на данные, которые обрабатываются у вас. Некоторые случаи потребуют от вас корректировки с носителями ПД.

    Одна из причин, по которой можно не уведомлять об обработке ПД, указана в п.2 ч.2 ст.22 ФЗ и выглядит следующим образом:

    Возьмем в пример установление деловых отношений с физлицом для выполнения услуги. Чтобы дать понять, что всё готово и вам не пришлось просто так ехать несколько десятков километров, предусмотрительно мастер взял ваш номер телефона для оглашения радостной новости. И в этом случае в договоре обязательно должно быть прописано «Мастерская обязуется уведомить клиента по телефону **** о выполнении услуги».

    Как защитить свои персональные данные узнаете из видео:

    Можете отказаться

    Цитата:

    Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

    (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

    1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

    2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

    3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

    4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

    1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

    2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

    3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

    4) цель обработки персональных данных;

    5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

    6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

    7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

    9) подпись субъекта персональных данных.

    5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

    6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

    7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

    8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

    Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (

    В соответствии с ФЗ «О защите персональных данных», к персональным данным относятся:

    — фамилия, имя, отчество;

    — год, месяц, дата и место рождения;

    — адрес;

    — семейное, социальное, имущественное положение;

    — образование;

    — профессия;

    — доходы;

    Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.

    Документы устанавливающих порядок обработки персональных данных:

    — Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации)

    — Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).

    ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Хранение персональных данных осуществляется в документированном виде. Персональные данные работника содержатся в следующих документах:

    — в документе, удостоверяющем личность работника;

    — в трудовой книжке;

    — в страховом свидетельстве обязательного пенсионного страхования;

    — в документах воинского учета;

    — в документах об образовании, квалификации или специальной подготовке;

    — в иных документах, представляемых работником (резюме, характеристики, грамоты и пр.);

    — в докладных, служебных записках;

    — в материалах служебных проверок и расследований.

    Поскольку персональные данные относятся к закрытой информации, работодатель должен создать технические условия, направленные на охрану персональных данных работников (особый режим доступа, защита персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения).

    ТК РФ устанавливает ряд правил, которыми необходимо руководствоваться при передаче персональных данных. Передача персональных данных третьей стороне возможна лишь с письменного согласия работника. Исключение составляют случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника.

    Работодатель не может запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

    Доступ к персональным данным работников возможен только специально уполномоченным лицам.

    В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

    Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. В 2019 году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. При этом, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тысяч рублей также выросло и количество возможных нарушений в этой области. Настоящая статья поможет небольшим операторам правильно выстроить систему защиты персональных данных

    ***

    Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

    В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон «О персональных данных» N 152-ФЗ.

    Фактически, обязательные требования содержатся не только в Законе «О персональных данных», но и в некоторых подзаконных актах. В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

  1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).
  2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).
  3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14.02.2008)
  4. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 15.02.2008)
  5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

Требования к обеспечению безопасности при обработке персональных данных, установленные перечисленными актами, достаточно обширны, некоторые довольно сложны в техническом и организационном плане.

Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа. Более того, как раньше, так и после вступления в силу поправок в КоАП РФ, увеличивших штрафы и введших новые правонарушения, надзорный орган неоднократно привлекал к ответственности нарушителей законодательства в области персональных данных.

Требования законодательства в области персональных данных довольно обширны, сложны и неоднозначны, поэтому, в первую очередь, хочется узнать, за что установлена ответственность.

Ответ на данный вопрос даёт ст. 13.11. Кодекса Российской Федерации об административных правонарушениях:

Часть 1 статьи 13.11:

«Обработка персональных данных в случаях, не преду-смотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных…», — штраф от 30 до 50 т.р. На что обратить внимание:

Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

  1. Есть согласие субъекта (НЕ ОБЯЗАТЕЛЬНО ПИСЬМЕННОЕ, т.е. «галочка» на сайте, вопрос по телефону – подойдут).
  2. Вы заключили или собираетесь заключить договор с субъектом (даже если это оферта на веб-сайте и для заключения не нужна подпись). В таком случае даже согласия не нужно.
  3. Вы обрабатываете персональные данные своих работников (из трудовых отношений). Здесь согласие также не нужно.
  4. В иных специфических случаях, они указаны в Законе о персональ-ных данных и достаточно редки (ст. 6, ч. 1; к примеру: для защиты жизни, здоровья или иных жизненно важных интересов субъекта).

Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил «галочку» под текстом вроде «Согласен на обработку моих персональных данных». Если данные обрабатываются в целях заключения договора и согласия нет – не обрабатывать нехарактерные для договора персональные данные (к примеру, по договору купли-продажи не стоит обрабатывать данные об образовании, профессии и воинской обязанности лица).

Часть 2 статьи 13.11:

«Обработка персональных данных без согласия в пись-менной форме, … когда такое согласие должно быть получено … либо обработка персональных данных с нарушением … требований к составу сведений, включаемых в согласие в письменной форме …», — штраф от 15 до 75 т.р. На что обратить внимание:

Чтобы не получить штраф по данной статье необходимо придерживаться нескольких простых правил:

  1. Нельзя публиковать или иным образом вносить в общедоступные источники персональные данные субъекта без его письменного согласия (для такого согласия предусмотрена особая форма).
  2. Нельзя обрабатывать биометрические персональные данные или дан-ные, относящиеся к категории специальных, (медицинские данные, вероисповедание, философские взгляды) без письменного согласия.
  3. Нельзя передавать персональные данные на территорию иностранных государств, которые не обеспечивают адекватную защиту прав
    субъектов (трансграничная передача) без письменного согласия лица.

Часть 3 статьи 13.11:

«Невыполнение оператором предусмотренной законода-тельством Российской Федерации в области персональных данных обязанности по опуб-ликованию или обеспечению иным образом неограниченного доступа к документу, опреде-ляющему политику оператора в отношении обработки персональных данных, или сведе-ниям о реализуемых требованиях к защите персональных данных», — штраф от 15 до 30 т.р. На что обратить внимание:

Необходимо разместить на сайте Политику обработки персональных

Часть 4 статьи 13.11:

«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных», — штраф от 20 до 40 т.р. На что обратить внимание:

Административная ответственность наступает лишь в случае непредставления оператором информации по запросу субъекта персональных данных, оформленному в соответствии с указанными в законе требованиями. В данном случае комментарии излишни – учитывая, что запрос от субъектов персональных данных большая редкость – легче один раз ответить на письмо субъекта, чем заплатить 20-40 т.р.

Часть 5 статьи 13.11:

«Невыполнение оператором в сроки … требования субъекта персональных данных или его представителя либо уполномоченного органа … об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки», — штраф от 25 до 45 т.р. На что обратить внимание:

Состав аналогичен части 4 ст. 13.11, т.е. сначала должно поступить требование субъекта / его представителя / Роскомнадзора, и если вы не исполните такое требование в срок – то только потом наступает ответственность. Опять же – легче не разбираться в ситуации, удалить недостоверные данные, уведомить об этом в письменном виде субъекта персональных данных, а не выплачивать штраф.

Часть 6 статьи 13.11:

«Невыполнение оператором … обязанности по соблюдению условий, обеспечивающих … сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния», — штраф от 25 до 50 т.р. На что обратить внимание:

Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру – злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников. Учитывая, что такая ситуация крайне редка для компаний среднего размера, а также то, что не всегда такие вещи может обнаружить Роскомнадзор – поводов для беспокойства мало.

На этом вся ответственность заканчивается. Более того, проверки проводит именно Роскомнадзор, как уполномоченный законом орган, а проверить технические моменты могут только ФСТЭК и ФСБ, которые по факту проверок не проводят (за очень редким исключением). Вся информация о плановых проверках содержится на сайте Роскомнадзора , включая организации, которые будут проверять в определённом году. Также за 3 дня Роскомнадзор дополнительно уведомляет о предстоящей проверке. Внеплановые же проводятся только при наличии достаточных оснований и при наличии жалобы конкретного лица (это может быть бывший работник, конкурент, просто клиент, который знает о своих правах). В таком случае Роскомнадзор уведомляет организацию за 24 часа до проверки. Исходя из этого – вероятность проверки крайне мала, а если она и есть – о проверке можно узнать заблаговременно.

Таким образом – ещё раз отмечу, что всё-таки нужно обеспечить для отсутствия претензий со стороны Роскомнадзора:

  1. Должна быть опубликована Политика в отношении обработки персональных данных, а если сбор персональных данных осуществляется с помощью сайта – то Политика должна быть опубликована именно на этом сайте (прямое требование ст. 18 Закона о персональных данных).
  2. Также под формой сбора персональных данных на сайте должно быть уведомление или «галочка» о том, что субъект согласен на обработку его персональных данных. В том случае, если ввод персональных данных субъектом подразумевает собой заключение договора (оферта) – то такой договор должен быть опубликован на сайте, согласие в этом случае не требуется. Договор предпочтительнее согласия.
  3. Не стоит обрабатывать специальные категории персональных данных, биометрические персональные данные и передавать персональные данные клиентов и работников заграницу.
  4. Всегда стоит отвечать на запросы и требования субъектов персональных данных (об уточнении, удалении, блокировании их данных). Это легче, чем оплатить штраф.
  5. Также стоит подготовить минимально необходимые внутренние документы организации, которые необходимы исходя из требований законодательства и которые может затребовать Роскомнадзор как в рамках проверки, так и в рамках систематического наблюдения (мониторинга).

Стоит отметить, что перечисленные условия – это лишь необходимый минимум и в каждом конкретном случае оператору может потребоваться большая степень обеспечения безопасности обработки персональных данных.

Наконец, следует упомянуть о том, почему оферта лучше, чем согласие и что делать с уведомлением Роскомнадзора о начале обработки персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, повысит требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), а также риск попасть под плановую проверку. В ч. 2 ст. 22 Закона о персональных данных предусмотрены исключения, т.е. те условия, при которых можно и не подавать уведомление, не попасть в реестр. К таким исключениям законодатель относит следующие условия:

  1. Персональные данные обрабатываются в соответствии с трудовым законодательством (данные работников)
  2. Персональные данные обрабатываются в связи с заключением договора (персональные данные клиентов и потенциальных клиентов).
  3. Персональные данные обрабатываются при непосредственном участии человека (без использования средств автоматизации – биллинга и т.п.).
  4. Некоторые специфические условия – персональные данные членов общественных объединений и религиозных организаций, только ФИО субъектов и т.д., см ч. 2 ст. 22 Закона о персональных данных.

Из указанного перечня следует, что если данные обрабатываются исключительно на основании согласия субъекта (даже не письменного) – то направлять уведомление в Роскомнадзор всё же следует. Так что если, к примеру, сайт вашей организации предусматривает две формы сбора персональных данных – заявка на подключение (ФИО, адрес подключения, паспортные данные), а также – форма обратной связи для вопросов рекомендуется осуществить следующие действия. По заявке на подключение – необходимо, чтобы на сайте была оферта, и таким образом – вводя свои персональные данные, потенциальный абонент уже заключает с вами договор. В форме обратной связи лучше всего будет оставить лишь два поля: электронный адрес и поле, куда непосредственно вводится вопрос лица: таким образом, сбор персональных данных осуществляться не будет.

С другой стороны – даже если не производить указанные выше действия и оставить согласие – сначала Роскомнадзор «любезно» пришлёт требование направить ему уведомление о начале обработки персональных данных. В ответ на него можно направить соответствующее уведомление, либо информационное письмо, в котором обосновать наличие исключений, позволяющих не «включаться» в Реестр операторов персональных данных.

В настоящее время нет большой разницы в действиях Роскомнадзора в зависимости от того, включена компания в Реестр или нет, так как требования законодательства в области персональных данных необходимо соблюдать в обоих случаях.

При выборе мер по обеспечению соблюдения требований законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

В настоящее время контроль и надзор осуществляется административным органом в двух формах. Во-первых, в виде проверки (плановой или внеплановой). Плановые проверки проводятся в отношении лиц, сведения о которых содержатся в Реестре операторов персональных данных, который ведёт Роскомнадзор (далее – «Реестр»). Сведения об операторе заносятся в Реестр только после отправки таким оператором уведомления о начале обработки персональных данных. Вследствие того, что направление указанного уведомления существенно повышает риск попасть под проверку надзорного органа – мы не рекомендуем своим клиентам направлять уведомление, особенно ввиду того, что при грамотно составленной документации это абсолютно законно. Вместе с тем при наличии письменных запросов территориального управления Роскомнадзора, следует под угрозой штрафа включиться в Реестр.

Внеплановые проверки могут проводиться по нескольким основаниям, наиболее частым из которых, на сегодняшний день, является подача жалобы клиентом и третьим лицом.

Также возможны мероприятия систематического наблюдения, а именно: осмотр сайта на предмет соблюдения законодательства в области защиты персональных данных.

В нижеуказанной таблице отражены проверки Роскомнадзора по Персональным данным.

В 2018 уже проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений — 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).

Очевидно, что чем больше клиентов, т.е. чем крупнее организация, тем больше шанс спровоцировать недовольство абонентов и вследствие этого получить жалобу. В этой связи необходимо выстроить наиболее эффективный и качественный процесс работы с физическими лицами, максимально соблюдать требования законодателя. Для таких организаций, которые работают с большим количеством абонентов, которые включены в Реестр, а также в отношении которых есть основания ожидать «интерес» со стороны административного органа, мы готовим стандартный пакет документов. В него входит ряд локальных, технических и публичных актов, которые позволяют минимизировать риски административных штрафов при детальной документарной проверке Роскомнадзора на предмет соблюдения законодательства в сфере персональных данных (список ниже).

Если шанс жалобы абонента на вашу организацию минимален и уведомление в Роскомнадзор о начале обработки персональных данных не подано – то вероятность плановой / внеплановой проверки Роскомнадзором вашей организации на порядок ниже. Зато есть большая вероятность попасть под мероприятие систематического наблюдения (мониторинг). При мониторинге у Роскомнадзора нет возможности ознакомиться с внутренним положением дел в организации, они смотрят лишь на внешнюю деятельность (в 99% случаев – веб-сайт, большинство штрафов и предписаний при мониторинге выносится за несоблюдение требований законодательства на сайте). Однако и за нарушения на сайте – выдают штраф от 15 до 30 тысяч рублей Более того, мало отделаться штрафом, Роскомнадзор также уже сейчас запрашивает у Оператора описание мер, предпринятых для устранения нарушения под угрозой штрафа в размере от 3 до 5 тысяч рублей за не исполнение предписания по ст. 19.7 КоАП РФ.

Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:

  • ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; — НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.

Укажем минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:

  • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
  • Форма Обязательства о неразглашении Персональных данных.
  • Приказ о проведении внутренней проверки в области Персональных данных.
  • Перечень Персональных данных, подлежащих защите.
  • Форма согласия абонента на обработку Персональных данных.
  • Форма согласия сотрудника на обработку персональных данных.
  • Приказ о выделении помещений для обработки Персональных данных.
  • Перечень информационных систем Персональных данных.
  • Технический паспорт информационных систем Персональных данных.
  • Приказ о назначении ответственного администратора информационной безопасности.
  • Инструкция администратора информационной безопасности.
  • Приказ об утверждении Положений в области Персональных данных.
  • Положение об обработке Персональных данных (Политика).
  • Положение о защите Персональных данных.
  • Положение о хранении Персональных данных.
  • Приказ о классификации информационных систем Персональных данных.
  • Акт классификации информационных систем Персональных данных.
  • Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
  • Инструкция пользователя информационных систем Персональных данных.
  • Порядок резервирования и восстановления Персональных данных.
  • План внутренних проверок в области Персональных данных.
  • Регламент по реагированию на запросы субъектов Персональных данных.
  • Инструкция о порядке обращения с носителями Персональных данных.
  • Правила внутреннего контроля в области Персональных данных.

10 сентября 2019 года прошел первое чтение проект Федерального закона № 729516-7, увеличивающий штрафы за несоблюдение законодательства о персональных данных. Вспомним, какие сведения относятся к персональным.

Что такое персональные данные

Ст. 3 Закона от 27.07.2006 № 152-ФЗ закрепляет понятие персональных данных: это любая информация, которая прямо или косвенно относится к конкретному физическому лицу:

Перечень характеристик человека неограничен. Идентифицировать гражданина способны и многие другие данные. А работодатель вправе рассчитывать только на те из них, которые характеризуют сотрудника как сторону трудового договора.

В каких документах есть персональные данные

В процессе работы кадровая служба копит и хранит сведения о сотруднике, заключенные в следующих документах:

Документы Какие персональные данные в них содержатся
Резюме, анкета, автобиография, личный листок по учету кадров Личные качества, биографические данные
Копия удостоверения личности ФИО, дата и место рождения, адрес регистрации, семейное положение, реквизиты самого удостоверения
Личная карточка № Т-2 Дополнительно к данным удостоверения личности указывается состав семьи и образование
Трудовая книжка Трудовой стаж, места работы
Копии свидетельств о заключении брака, рождении детей Сведения о составе семьи
Документы воинского учета Отношение работника к воинской обязанности
Справка о доходах с предыдущего места работы Уровень заработка на предыдущем месте трудоустройства
Документы об образовании Уровень образования
СНИЛС, ИНН Индивидуальные номера гражданина в системе пенсионного страхования и для налоговых органов
Трудовой договор Должность, заработная плата, место работы
Приказы по личному составу и их копии Информация о приеме, переводе, повышении, увольнении

В качестве персональных выступают и другие данные, не перечисленные в таблице. Например, информация о соискателях для принятия руководством решения о приеме нового сотрудника из нескольких кандидатур.

Работники имеют право на свободный бесплатный доступ к своим персональным данным, в том числе на получение копии любого документа, содержащего такие данные (ст. 89 ТК РФ). Работодатель в течение 3 рабочих дней с момента получения заявления от работника обязан выдать ему заверенные копии необходимых документов (ст. 62 ТК РФ).

Работа с персональными данными

Сбор, обработка и хранение персональных сведений сотрудников организуются по следующему алгоритму:

В ходе обработки персональных сведений обеспечивается их недоступность третьим лицам и своевременная корректировка.

Работодатель не вправе обращаться к предыдущему нанимателю сотрудника с целью узнать, насколько правдива информация, представленная в резюме соискателя (нарушается ст. 7 Закона № 152-ФЗ). Это можно делать лишь с согласия проверяемого лица.

Ответственность за нарушения в сфере персональных данных

Обработка персональных данных без согласия сотрудника (если оно обязательно) влечет ответственность — административный штраф (п. 2 ст. 13.11 КоАП РФ):

  • для граждан — от 3 до 5 тыс. рублей;
  • для должностных лиц — от 10 до 20 тыс. рублей;
  • для организаций — от 15 до 70 тыс. рублей.

Работник, имеющий доступ к персональным сведениям других работников, при разглашении привлекается к следующим видам ответственности (ст. 90 ТК РФ):

Вид ответственности Содержание правонарушения Мера ответственности Основание
Дисциплинарная Разглашение охраняемой законом тайны, в том числе по причине разглашения персональных данных другого работника Увольнение с соблюдением процедуры ст. 193 ТК РФ Подп. «в» п. 6 ст. 81 ТК РФ
Материальная Причинение морального вреда работнику, чьи данные были разглашены Возмещение ущерба работодателю по п. 2 ст. 238 ТК РФ П. 7 ст. 243 ТК РФ
Гражданско-правовая Причинение имущественного или материального вреда в результате разглашения
  • Денежная компенсация вреда
  • Опровержение порочащих честь, достоинство или репутацию сведений
 П. 2 ст. 1099 ГК РФ, ст. 152 ГК РФ
Административная Разглашение информации, доступ к которой ограничен (в том числе персональной согласно ст. 2, 3, 5, 6 Закона № 152-ФЗ) Административный штраф на должностное лицо — от 4 до 5 тысяч рублей Ст. 13.14 КоАП
Уголовная Злоупотребление служебным положением и распространение сведений о частной жизни в публичных выступлениях или СМИ
  • Штраф от 100 до 300 тысяч рублей или в размере дохода за 1-2 года;
  • лишение права занимать определенные должности или заниматься определенной деятельностью от 2 до 5 лет;
  • принудительные работы до 4 лет;
  • арест до 6 мес.;
  • лишение свободы до 4 лет
 П. 2 ст. 137 УК РФ

О перспективе роста штрафов за разглашение персональных данных в некоторых случаях читайте в нашей статье.

Подводим итоги

  • Персональные данные идентифицируют конкретного человека.
  • Работодатель вправе получить только те сведения, которые имеют прямое отношение к трудовому сотрудничеству.
  • Порядок получения, использования и хранения персональных данных закрепляется нормативно-правовым актом работодателя.
  • Лица, имеющие доступ к персональным сведениям, несут ответственность при их разглашении.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Related Posts

About The Author

admin

Add a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *