Политика обработки персональных данных в организации
Содержание:
- Содержание
- Кто может осуществлять сбор, обработку информации?
- Ответственность сторон
- Пошаговая инструкция по составлению
- Как ввести в действие
- Характеристика обрабатываемых данных и субъектов ПД.
- Подробные требования к содержанию согласия
- 1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
- 2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
- 3) Сведения об операторе персональных данных
- 4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
- 5) Цель (цели) обработки персональных данных
- 6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
- 7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
- 8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
- 9) Срок действия согласия
- ***
- О чем всегда забывают при подготовке документации?
- Что относится
- Общедоступные персональные данные
Содержание
Для обработки
- Общие положения.
- Цели обработки ПД.
- Правовое основание обработки персональных данных (ОПД).
- Перечень действий с личной информацией.
При обработке ПД Оператор будет осуществлять следующие действия с ними:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
- Состав обрабатываемых ПД.
- Обработка персональных данных:
- не автоматизированная ОПД;
- автоматизированная ОПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная ОПД.
- Обеспечение защиты ПД при их обработке Оператором.
- Право субъекта персональных данных на доступ к его персональным данным.
Для защиты
- Контролирующие и обрабатывающие лица.
- Сбор.
- Использование.
- Предоставление личной информации пользователей компанией.
- Куки-файлы (касается веб-сайтов).
- Защита учетных записей.
- Доступ и изменение ПД пользователей.
- Безопасность.
- Третьи лица.
- Изменения ППД относительно защиты.
- Контакты.
Кто может осуществлять сбор, обработку информации?
Реестр операторов персональных данных – это общая федеральная база, куда Роскомнадзор вносит сведения о юридических и физических лиц, осуществляющих сбор и обработку подобной информации.
Так называемыми «операторами» могут быть как органы власти: федеральной, субъектов федерации или муниципальной, так и коммерческие структуры, банки, торговые сети, выдающие карты клиентов, и прочие.
В последних правках, внесенных в 2017 году, законодатели уделили особое внимание Интернет-ресурсам, имеющим формы для регистрации пользователей. Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22
Регистрация в Роскомнадзоре обязательна для всех физических и юридических лиц, которые намерены заниматься сбором и обработкой персональных данных, кроме исключений, указанных в части 2 статьи 1 и части 2 статьи 22.
Цель создания по закону
Закон декларирует свою цель как обеспечение защиты прав и свобод человека, неприкосновенности личной жизни и семейной тайны. Реестр предоставляет всем заинтересованным сторонам информацию о том, кто, в каких целях и какие данные граждан собирает, обрабатывает и хранит. Это позволяет более эффективно бороться с правонарушениями в данной области.
Кроме того, наличие ответственности за манипуляции со сбором персональных данных стимулирует операторов тщательно подходить к вопросам информационной безопасности. В 2015 году законодатель потребовал хранить данные только на серверах, размещенных на территории России, что, очевидно, было реакцией на ухудшение международной обстановки. Хранение данных на серверах направлено на усиление защиты персональной информации россиян от внешних посягательств.
Кто вносит изменения в перечень?
Изменения в реестр вносит Роскомнадзор на основании уведомления операторов. На рассмотрение представленной информации ведомству отводится 30 дней.
Сведения об операторах общедоступны, за исключением описания средств и мер безопасности, которые оператор применяет для защиты своих баз.
Ответственность сторон
7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:7.2.1. Стала публичным достоянием до её утраты или разглашения.7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта Максимальный доход в мире финансов, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта Максимальный доход в мире финансов, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте Максимальный доход в мире финансов.Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте Максимальный доход в мире финансов) допускается их распространение при условии, что будет дана ссылка на Максимальный доход.
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте Максимальный доход в мире финансов или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте Максимальный доход в мире финансов, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.
Пошаговая инструкция по составлению
- «Шапка». Некоторые компании структурируют согласие по форме заявления, некоторые обходятся без верхнего углового блока. В первом случае справа вверху указывается адресат – руководитель компании или лицо, отвечающее за обработку персональных данных.
Затем данные работника (только ФИО, или с указанием должности, или адреса, паспортных или контактных данных в случае соискателя). После по центру непосредственно название документа: «Согласие на обработку персональных данных работника».
- Информация о субъекте. Обязательно указать фамилию, имя и отчество полностью, адрес, номер и серию паспорта, дату его получения и орган выдавший документ.
- Законодательное основание. Согласно ст.9 Федерального закона «О персональных данных».
- Информация о должностном лице, ответственном за работу с персональными данными. Полное название и адрес компании, ФИО должностного лица, получающего согласие. Если обрабатывать данные будет сторонний подрядчик – аналогичные сведения о нем.
- Цель обработки персональных данных. Трудовой кодекс разрешает только цели, связанные с исполнением законодательства, содействием в трудоустройстве, обучении и карьерному росту сотрудника, обеспечением безопасности на рабочем месте и контроля над качеством выполнения работы.
Например, в качестве цели могут быть указаны оформление и начисление заработной платы, предоставление отчетности, обмен информации с Пенсионным фондом и другими страховыми структурами и прочее.
- Перечень персональных данных. Перечислите конкретные категории данных (ФИО, паспортные данные, дата рождения, информация об образовании и т.д.) на обработку которых соглашается работник.
- Перечень действий с данными и способ обработки. Например, действиями могут быть сбор, систематизация, хранение, а способ – автоматизированный или неавтоматизированный.
- Срок действия. В течение трудового договора и 75 лет по его истечению, так как после увольнения работодатель несколько лет, в зависимости от сферы деятельности, должности и прочего, должен хранить личное дело, в котором содержится соответствующая информация, а затем передать его в архив.
- Способ отзыва, если иное не установлено федеральным законом. По закону субъект может отозвать разрешение на обработку его данных в любой момент. Укажите, следует ли это делать письменно, и в какой период компания обязуется отреагировать.
- Подпись субъекта. Внизу бланка ставится личная подпись работника и дата подписания согласия.
- Скачать бланк согласия работника на обработку персональных данных
- Скачать образец согласия работника на обработку персональных данных
- Скачать бланк согласия работника на передачу персональных данных третьим лицам
- Скачать образец согласия работника на передачу персональных данных третьим лицам
Вне зависимости от того, является ли ваша компания оператором персональных данных, или нет, закон прямо накладывает на работодателя определенные обязательства в отношении личной информации о работниках (подробнее об обязательствах о неразглашении и других читайте тут).
Любой сотрудник, считающий, что его сведения о нем используются неправомерно, имеет право обратиться за защитой в Роскомнадзор.
Подробнее о том, что такое положение о защите персональных данных работника, читайте тут.
Законодательство предусматривает административную ответственность за нарушения в виде штрафа до 75 тысяч рублей. Сумма, возможно, не пугающая, но стоит понимать, что при проверке нарушение и штраф могут оказаться не единичными. Благоразумнее здраво оценить, под какие нормы и требования подпадает конкретно ваша компания, и оформить все надлежащим образом.
Как ввести в действие
Введение политики обработки ПД в действие проходит в несколько этапов:
- Разработка политики и согласование содержания документа с руководителями подразделений и юристами.
- Утверждение политики как нормативного акта. Утвердить документ должен глава предприятия путем издания приказа. При внесении в акт изменений также необходим соответствующий приказ.
- Ознакомление сотрудников предприятия с приказом и политикой. Также с документами должны быть ознакомлены не только уже работающие сотрудники, но и вновь нанятый персонал.
- Подтвердить ознакомление с текстом документа личной подписью сотрудника в специальном журнале. Подтверждение не обязательно и производится на усмотрение работодателя.
На практике руководитель и любой сотрудник предприятия должен иметь возможность обратиться к тексту положения при необходимости. Для удобства использования многие крупные предприятия выкладывают нормативные документы в ресурс общего корпоративного доступа.
В случае, если в данный момент положение о конфиденциальности персональных данных отсутствует, необходимо незамедлительно его разработать и согласовать со всеми инстанциями. Грамотно составленный документ поможет избежать многих проблем и разногласий.
Характеристика обрабатываемых данных и субъектов ПД.
Как сказано в п. 3.4 Рекомендаций, содержание и объем персональных данных должны соответствовать заявленным целям обработки (определены в ст. 5 Закона № 152-ФЗ). При этом обрабатываемые данные не должны быть избыточными.
На практике объем и категории информации, запрашиваемой у субъектов ПД, определяются по-разному. Одни учреждения указывают целый перечень обрабатываемых данных, в то время как другие действуют «от обратного»: перечисляют те категории, с которыми не работают. Например, указывают следующее: «Оператор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства».
Что касается категорий субъектов ПД, по мнению Роскомнадзора, к ним относятся:
- работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты оператора (физические лица);
- представители (работники) клиентов и контрагентов оператора (юридических лиц).
Эти же категории, но в иных формулировках, отражающих особенности профильной деятельности, как правило, указаны в политиках автономных учреждений.
По каждой категории субъектов ПД и применительно к конкретным целям обработки целесообразно перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий ПД и биометрических ПД (п. 3.4 Рекомендаций).
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
***
При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных
Например, сейчас на рассмотрении в Госдуме находится законопроект, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса
Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн
_____________________________
С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.
О чем всегда забывают при подготовке документации?
Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:
- отсутствует большая часть необходимой документации;
- документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
- не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.
Среди документов второго уровня в иерархии можно выделить следующие:
- Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
- Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
- Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
- Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
- Иные документы.
Для наглядности иерархическая структура необходимых документов представлена на схеме:
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России
Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только
Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.
Что относится
ФЗ №152 устанавливает понятие персональных данных (ПД). Это любая информация, относящаяся к субъекту, а также позволяющая идентифицировать его личность прямо или косвенно. Законодательство не устанавливает конкретный перечень сведений, которые можно отнести к персональным данным.
В сфере трудовых взаимоотношений к ПД можно отнести:
- ФИО;
- паспортные данные;
- дату рождения;
- место проживания и адрес фактической регистрации;
- номер ИНН или СНИЛС;
- сведения об образовании;
- сведения о стаже работы и т.д.
Указанный перечень можно считать минимальным. Любые данные, сообщаемые работником работодателю, можно отнести к персональным, если они позволяют идентифицировать этого работника.
К ПД также можно отнести:
- условия и нюансы трудового соглашения;
- данные о воинском учете;
- данные из медицинской карты;
- социальные выплаты;
- информация о наградах или дисциплинарных взысканиях.
Все это должно храниться в личном деле сотрудника и не может быть использовано против него. Информация также не может быть передана третьим лицам без согласия этого работника.
Любой работодатель является оператором по обработке ПД, то есть работодатель отвечает за сбор, хранение и накопление любых данных по отношению к сотруднику.
Обработка данных может проводиться руководителем или сотрудником отдела кадров вручную или с применением автоматизированных технологий. Конфиденциальность должна сохраняться как на время фактической работы физлица на предприятии, так и по завершению трудовой деятельности.
ФЗ №125 обязует предприятия хранить личные дела сотрудников в архиве в течение 75 лет. В течение этого периода никакая информация не может быть передана третьим лицам или использована в корыстных целях. Комплекс соответствующих мер должен быть направлен на конфиденциальность.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.