Является ли ваша организация оператором персональных данных?
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)? Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)? У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Что это такое
Законодательство относит к персональной информации любые сведения, которые имеют отношение к конкретному лицу. Причём речь идёт не только о той, которая прямо относится к нему, но и о любых косвенных данных. Это определение является очень широким. Нужно заметить, что в нём не говорится о том, что данные должны обязательно идентифицировать конкретное лицо.
При таком подходе очень сложно найти ту информацию, которая не подпадает под действие закона.
Для того, чтобы более точно понять, что относится к персональным данным, можно сделать запрос в соответствующую инстанцию за разъяснением. Данным вопросом, как известно, занимается Роскомнадзор.
Был сделан запрос о том, существует ли минимальный набор данных о конкретном человеке, которые можно отнести к персональной информации, идентифицирующей его. Роскомнадзор рассмотрел это обращение и ответил следующее. Был проведён мониторинг законодательства и выяснилось, что существуют десятки нормативных актов, в которых к данным личного характера относят различные перечни информации.
При этом было указано, что данный вопрос рассматривается в большом количестве действующих документов. К ним относятся следующие нормативные акты:
- 250 документов, изданных Правительством РФ;
- 75 международных нормативных актов;
- более сотни федеральных законов;
- 13 Кодексов.
Расширенное понимание того, что относится к таким данным является гораздо более широким по сравнению с тем, что можно ожидать. При этом перечень персональных данных превосходит тот минимальный набор информации, на основании которого можно идентифицировать конкретное физическое лицо.
https://youtu.be/1C6rcr_GVaM
В связи со сказанным возникает вопрос о необходимости определения более чётких рамок того, что относится к персональной информации, а что в неё не включается. Вопрос о том, включаются ли паспортные данные в эту категорию, имеет утвердительный ответ, но в большинстве случаев вопрос гораздо более сложен.
ВНИМАНИЕ! В научно-практическом комментарии Роскомнадзора указывается, каким подходом нужно руководствоваться в каждом конкретном случае, чтобы определить, что входит в персональные данные. Для этого нужно рассмотреть конкретный перечень персональных данных и решить, является ли представленная совокупность достаточной для того, чтобы провести идентификацию личности.
Если это так, то вся входящая в этот список информация рассматривается в качестве персональной. В случае, когда данное условие не выполняется, эти данные не подпадают под действие соответствующего закона.
Защита персональный данных в организации.
Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.
Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.
Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.
ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Как составляется согласие на обработку
Составлять согласие следует по шаблону, либо в произвольной форме, но с соблюдением всех основных требований. Бланк можно скачать из интернета, или использовать тот, который был создан специально для конкретной организации.
При этом документ обязательно должен содержать следующие данные:
- Наименование компании, в которой осуществляется трудоустройство.
- Дата и место составления документа.
- ФИО работника, сведения о месте его проживания и паспортные данные.
После указания основных сведений во второй части документа следует перечислить следующую информацию:
- Какие именно персональные данные должны быть защищены.
- Каким образом допустимо их использование, в каких целях.
- Срок действия документа. Отдельно указывается возможность отзыва согласия, несмотря на то, что это изначально предусмотрен законодательством.
Отдельно в обязательном порядке должна быть сделана отметка о том, что документ был составлен и подписан без какого – либо принуждения со стороны, на добровольных условиях. Только после этого можно ставить подпись в месте, предназначенном для нее.
Образец согласия:
Скачать пустой бланк для заполнения можно по ссылке.
Нюансы, которые нужно знать при составлении согласия:
- Получить заявление от владельца данных на обработку можно на сайте, в электронной форме, или же, в печатном виде – в виде договора – соглашения.
- Некоторые пользователи интернета ставят галочку в поле «согласие на обработку данных», не читая условия, и таким образом, дают право на использование данных, сами того не подозревая.
- Составляемое требование на предоставление информации должно быть максимально полным, информативным и содержательным.
- Проще всего воспользоваться готовым бланком, и вписать в документ все основные сведения.
Под действиями, которые выполняются с личной информацией, подразумевается следующее: сбор данных, систематизация и накопление, распространение, использование и извлечение.
Административная ответственность за разглашение персональных данных.
С 1 июля 2020 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.
Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.
Организация защиты персональный данных в организации.
Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.
| 1. | Уведомление об обработке персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
| 2. | Изменения в уведомление об обработке персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. |
| 3. | Приказ Об организации обработки персональных данных. |
| 4. | Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. |
| 5. | Согласие субъекта персональных данных на обработку его персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. |
| 6. | Согласие в письменной форме субъекта персональных данных на обработку его персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. |
| 7 | Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. |
| 8. | Документы, определяющие политику оператора в отношении обработки персональных данных. Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. |
| 9. | Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. |
| 10. | Документы по организации приема и обработке обращений и запросов субъектов персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. |
| 11. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. |
| 12. | Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации. Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. |
| 13. | Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Основание: Приказ ФСТЭК от 18 февраля 2013 года № 21. 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. |
| 14. | Документы о классификации информационных систем. Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных. |
| 15. | Типовые формы документов. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия. |
| 16. | Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия. |
| 17. | Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. |
| 18. | Документы, по обеспечению безопасности персональных данных с использованием СКЗИ. Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. |
| 19. | Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом. |
| 20. | Документы, устанавливающие порядок обработки персональных данных работников. Основание: ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников. |
| 21. | Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ. Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1). |
работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.ВАЖНО! Для справки рекомендуется ознакомиться с документом:
Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.
Приказ МВД РФ от 6 июля 2012 г. N 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»
П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.
Примерный перечень документов по защите персональных данных.
| № п/п | Наименование документа | № документа, дата |
| 1. | Акт классификации и определения уровня защищенности ИСПДн «Бухгалтерия». | |
| 2. | Акт определения уровня защищенности ИСПДн «________». | |
| 3. | Акт определения уровня защищенности ИСПДн «……». | |
| 4. | Акт о выделении к уничтожению документов, неподлежащих хранению. | |
| 5. | Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных. | |
| 6. | Акты уничтожения персональных данных. | |
| 7. | Описание информационной системы персональных данных «Сотрудники». | |
| 8. | Описание информационной системы персональных данных «Клиенты». | |
| 9. | Описание информационной системы персональных данных «…..». | |
| 10. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники». | |
| 11. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты». | |
| 12. | Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..». | |
| 13. | Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных. | |
| 14. | Инструкция пользователя информационной системы персональных данных. | |
| 15. | Инструкция об организации антивирусной защиты. | |
| 16. | Инструкция администратора безопасности информационной системы персональных данных. | |
| 17. | Инструкция администратора информационной системы персональных данных. | |
| 18. | Инструкция пользователя при обработке персональных данных без средств автоматизации. | |
| 19. | Инструкция по эксплуатации машинных носителей информации. | |
| 20. | План внутренних проверок режима защиты персональных данных. | |
| 21. | Политика обработки Персональных данных образец | |
| 22. | Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. | |
| 23. | Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….». | |
| 24. | Положение об обеспечении безопасности персональных данных. | |
| 25. | Положение об обработке персональных данных в ООО «….». | |
| 26. | Положение об ответственном за обработку персональных данных в ООО «….». | |
| 27. | Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». | |
| 28. | Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии. | |
| 29. | Приказ о начале обработке персональных данных. | |
| 30. | Приказ об ответственных и комиссии по информационной безопасности. | |
| 31. | Приказ о назначении сотрудников, имеющих доступ в персональным данным. — список сотрудников. | |
| 32. | Приказ утверждающий перечень мест хранения материальных носителей персональных данных. — перечень мест хранения ИСПДн. | |
| 33. | Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн. | |
| 34. | Приказ о контролируемой зоне: — Схема границ. — Список лиц, имеющих право вскрывать помещение. — Список лиц, имеющих находиться в помещение. | |
| 35. | Перечень персональных данных. | |
| 36. | Перечень информационных систем персональных данных. | |
| 37. | Согласие сотрудника на обработку его персональных данных. | |
| 38. | Согласие клиента на обработку его персональных данных. | |
| 39. | Согласие …. на обработку его персональных данных. | |
| 40. | Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных. | |
| 41. | Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 42. | Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. | |
| 43. | Журнал учета лицевых счетов пользователей средств криптографической защиты информации. | |
| 44. | Журнал учета и выдачи машинных носителей персональных данных. | |
| 45. | Журнал учета проверок, проводимых органами государственного контроля (надзора). | |
| 46. | Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным. | |
| 47. | Журнал регистрации входящих конфиденциальных документов. | |
| 48. | Журнал регистрации исходящих конфиденциальных документов | |
| 49. | Журнал регистрации и выдачи печатей опечатывающих устройств. | |
| 50. | Журнал инвентарного учета документов ограниченного распространения. | |
| 51. | Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов). | |
| 52. | Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер. | |
| 53. | Журнал учета хранилищ (сейфов). | |
| 54. | Журнал учета ключевой информации. | |
| 55. | Журнал учета движения материальных носителей персональных данных. | |
| 56. | Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные. | |
| 57. | Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации. |
В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.
Получение персональных данных
Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).
В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:
- из документов, предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
- в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
- от кадрового агентства, действующего от имени соискателя;
- из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.
