Роскомнадзор о персональных данных в 2021

Содержание:

Общая структура локального акта и правовая база

При составлении положения следует руководствоваться нормами действующего законодательства России. Документ должен разрабатываться на основании:

  • Конституции нашей страны;
  • Федерального закона № 152-ФЗ «О персональных данных» (ред. от 21.07.2014);
  • ТК РФ;
  • иных нормативно-правовых актов.

Законодательная база обуславливает структуру положения о персональных данных работника. В локальный акт рекомендуется включить разделы, которые соответствуют частям (главам, статьям) вышеупомянутого Федерального закона. Такой подход демонстрирует знакомство руководителя ООО, созданной в иной форме компании, предпринимателя с действующими требованиями к сбору, обработке персональной информации сотрудников, ее хранению.

Первый раздел должен содержать общие сведения:

  • о законодательных документах – базе для разработки локального акта;
  • цели – защите конфиденциальной личной информации от несанкционированного доступа, утраты, разглашения;
  • сфере действия;
  • терминах, которые употребляются в акте;
  • порядке утверждения положения;
  • иную информацию.

В других разделах нормативно-правового акта следует рассмотреть вопросы:

  • что включается в состав персональных данных;
  • на основании каких принципов работающий с привлечением наемных сотрудников ИП либо юрлицо обрабатывают личные сведения;
  • из каких документов работодатель получает конфиденциальную персональную информацию;
  • как обрабатываются, хранятся сведения;
  • какие права, обязанности имеют субъект и оператор личной информации (ИП, руководитель фирмы);
  • порядок и право доступа, внутреннего и внешнего, к полученным сведениям;
  • как защищается личная информация, ответственность за ее разглашение.

Подробные требования к содержанию согласия

Согласие должно включать в себя следующую информацию:

1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)

3) Сведения об операторе персональных данных

Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ

Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.

Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.

4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных

5) Цель (цели) обработки персональных данных

Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных

Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

  • общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов

Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.

Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.

Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников

9) Срок действия согласия

Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.

Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

Документы муниципальных и государственных органов

Исходя из норм Постановления Правительства РФ № 211, государственный или муниципальный орган обязан разработать и утвердить собственный перечень стандартов, регламентирующих правила обработки персональных данных.

Это следующие документы:

  • Правила обработки. Они определяют процедуры, направленные на выявление нарушений закона в этой сфере, категории субъектов, правила обработки, хранения и уничтожения данных;
  • Правила рассмотрения запросов, направляемых субъектами данных;
  • Правила работы с обезличенной информацией;
  • Перечень имеющихся в распоряжении государственного или муниципального органа информационных систем;
  • Перечень сведений, обработка которых происходит исходя из требований кадрового документооборота и выполнения обязанностей по оказанию государственных услуг;
  • Перечень должностей ответственных госслужащих;
  • Должностной регламент ответственного лица;
  • Типовое обязательство о неразглашении ПД;
  • Формы согласия и разъяснения последствий отказа от предоставления сведений для обработки;
  • Порядок доступа к информации.

Основные документы обязательно публикуются на сайте органа. Контроль над их существованием, содержанием и выполнением производится и в рамках государственной исполнительной вертикали, и уполномоченными органами.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Внимание! По результатам оценки выдается либо Аттестат, либо рекомендации по устранению недочетов системы защиты ПДн. Чтобы пройти аттестацию, организация должна тщательно подготовиться к процедуре или поручить этот процесс компетентным лицам.. Для частных компаний может быть достаточно получения декларации соответствия

Документ составляет оператор, привлекая специалистов в сфере защиты ПДн

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Цели

Ведущей целью взаимодействия с ПД является обеспечение прав и свобод гражданина, утвержденных Конституцией и законодательными актами РФ. Работа с ПД должна выполнять следующие задачи:

  • предотвращать несанкционированный доступ к информации;
  • обеспечивать достоверность и сохранность данных;
  • предоставлять возможность гражданину самостоятельно контролировать использование ПД;
  • соблюдать правовой режим при работе с различными правовыми категориями сведений.

Цели могут отличаться в зависимости от объекта, который осуществляет манипуляции с ПД. Так, на предприятии процесс может затрагивать такие вопросы:

  1. заключение договоров с юридическими и физическими лицами;
  2. ведение кадрового учета и делопроизводства;
  3. налогообложение и др.

В каких целях и для чего проводится обработка ПД мы более подробно рассказываем тут.

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении должностных обязанностей, так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях.

Относится ли заработная плата к персональным данным читайте в нашей статье.

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные, если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

  • Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
  • Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств: применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

  • сбор;
  • фиксирование;
  • использование;
  • уничтожение.

Основная информация

Операторами могут являться любые органы государственного или муниципального управления, а также физлица, юрлица, обеспечивающие на правовых основаниях обработку ПДн на предприятии. Этим органам и лицам необходимо установить цели и определить содержание такой обработки.

В качестве правового основания выполнения любых действий по обработке ПДн выступают операции, совершаемые с помощью автоматизированных средств или без их применения.

Оператор может выполнять с ПДн следующие операции:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • хранить;
  • уточнять;
  • обновлять;
  • изменять;
  • извлекать;
  • использовать;
  • передавать;
  • распространять;
  • предоставлять;
  • создавать к ним доступ;
  • обезличивать;
  • блокировать;
  • удалять;
  • уничтожать.

Именно на эти действия уполномочен оператор при заполнении реестра.

Законодательство по обработке персональных данных

В марте 2009 года было издано Положение, регулирующее полномочия и правовое основание, которым наделяется Роскомнадзор в вопросах обработки ПДн

Важность разработки и внедрения этого Положения была вызвана необходимостью обеспечения безопасности персональных данных и прав граждан

В законе № 152 (ст. 23 ч. 5 п. 3) указывается, что уполномоченный орган, выполняющий функцию защиты прав субъектов, обязан вести реестр всех операторов. Он получает правовое основание для обработки ПДн. В этот документ вносится информация непосредственно об операторах на основании поступающих сведений в уведомлениях.

После этого в соответствии с поданным информационным письмом заносятся все необходимые изменения в сведения, имеющиеся в этом реестре по конкретным операторам. В реестре также должна быть зафиксирована информация о прекращении выполнения оператором процесса обработки ПДн. Правовым основанием для выполнения этих действий является поданное заявление, которое также позволяет выдать запрашиваемую выписку из сведений, внесенных в реестр.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Внимание! Каждая ИСПДн должна иметь администратора безопасности. Это лицо, в чьи рабочие обязанности входит обеспечение защиты ПДн в системе.. Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Сотрудник организации

Работодатель может запросить от наемного работника следующие данные:

  • информацию, внесенную в паспорт;
  • ИНН и СНИЛС;
  • документы об образовании;
  • военный билет;
  • трудовую книжку – предыдущие места работы с указанием занимаемой должности;
  • водительское и пенсионное удостоверения;
  • данные о членах семьи и их местах работы;
  • информацию о состоянии здоровья, прохождении медкомиссий и профосмотров;
  • заполненную при трудоустройстве анкету и трудовое соглашение;
  • приказы, в которых отражаются кадровые перестановки, поощрения;
  • свидетельства о повышении квалификации;
  • объяснительные письма и заявления работника.

Важно! Спорным остается вопрос о том, является ли ПД номер телефона гражданина, так как он не предполагает возможность точно установить личность.

С чего начать?

Администрация компании, решившей обрабатывать персональные данные, должна первым делом уведомить о своих намерениях Роскомнадзор в соответствии с приказом № 706 от 19 августа 2011 года «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерениях) персональных данных» и положений Федерального закона № 152 «О персональных данных» .

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора. Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

Чтобы проблем с Роскомнадзором не возникало, бланк готовится в соответствии с требованиями – пишется от руки или в электронном виде, но на фирменной бумаге юридического лица, с подписью уполномоченного гражданина, указанием контактных данных и перечнем видов ПДн, обработку которых планируется осуществлять.

В России действует следующая классификация:

  • Персональные данные (относящиеся к физическому лицу).
  • Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
  • Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Кто является оператором персональных данных?

Многие до сих пор считают, что операторы персональных данных — это какие-то компании, оперирующие огромными массивами данных о гражданах, но никак не они сами. На самом деле нет бизнеса, который бы не являлся оператором персональных данных, ведь при наличии хотя бы одного работника, пусть даже это и сам владелец бизнеса, вы уже являетесь оператором.

  • собирает (как раз на семинаре);
  • систематизируете и записываете (вы делает отдельный файл в Excel со списком участников данного мероприятия);
  • накапливает (будете собирать в этот же файл или другой ПДн слушателей с других своих семинаров) и хранит;
  • уточняет (слушатель сообщил вам, что сменил номер телефона или место работы);
  • извлекаете сведения для передачи в сервис почтовых рассылок;
  • после неудачной доставки некоторым из пользователей, у которых не удалось уточнить их email вы их просто блокируете или удаляете.

Все эти действия и называются обработкой.

Часто считают, что оператором ПДн становятся только в случаях подачи уведомления в Роскомнадзор, однако Закон о персональных данных связывает статус оператора как раз именно с началом обработки ПДн, а не с подачей уведомления регулятору. Поэтому разработка мер защиты ПДн — это задача каждого юридического лица, ИП и даже гражданина, который их обрабатывает. Естественно, интерес у контролирующих органов к обычным гражданам куда меньше, чем к бизнесу, который к тому же планово проверяется. Но не стоит думать, что Роскомнадзор не может проверить гражданина, который владеет сайтом и собирает через него заказы или обращения.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Когда надо получать согласие на обработку персональных данных?

Во-первых, надо чётко понимать, будет ли собираемая совокупность данных являться персональными. Во-вторых, для каждой группы граждан, данные которых собираются, должны быть определены цели такой обработки.

Когда не нужно согласие на обработку персональных данных?

Если целью является исполнение требования какого-либо закона, то получать согласие на обработку ПДн не требуется, однако если компания преследует какие-то иные коммерческие или некоммерческие цели, то такое согласие необходимо.

К примеру, работодатель в соответствии с Трудовым Кодексом РФ выполняет ряд действий с ПДн работников, акционерные общества, страховые и кредитные организации размещают в силу закона на своих сайтах сведения об аффилированных лицах и входящих в состав управляющих органов без какого-то согласия с их стороны.

Но для того, чтобы установить систему контроля доступа и использовать отпечатки пальцев или радужку глаз, просто изображение гражданина — потребуется письменное согласие работника или иного лица, которого вы будете идентифицировать.

Такое согласие не требуется в случаях, когда обработка персональных данных:

  1. необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, естественно при условии, что ПДн не передаются дальше;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (к примеру, при экстренной госпитализации или ЧС);
  5. необходима для доставки почтовых отправлений, осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с законодательством в отношении государственных и муниципальных служащих, а также кандидатов на выборные должности.

Обеспечение хранения и защиты персональных данных

Любая компания должна оформлять, формировать, вести и хранить информацию, в которой содержатся персональные данные. Такая работа всегда выполняется теми, кто наделен правовыми основаниями, которые должны быть занесены в должностные инструкции на предприятии. Лицо, ответственное за выполнение этой работы, назначается приказом генерального директора.

Посторонние лица не должны иметь доступа к персональной информации. Руководитель предприятия также должен утвердить список лиц, допущенных к такой деятельности, а генеральный директор должен завизировать этот документ.

Иметь постоянное право доступа к ПДн на предприятии могут лица из числа административных работников, такие как начальник, сотрудники, отвечающие за работу с персоналом, работник кадрового отдела (инспектор), инженерный персонал, ответственный за организацию и нормирование труда по структурным подразделениям.

В некоторых компаниях любые персональные данные могут потребоваться главному бухгалтеру в случае необходимости подготовки определенных документов.

Постоянный доступ к конфиденциальным данным имеет сотрудник, отвечающий за безопасность на предприятии, но только в рамках выделенных ему полномочий.

В список, который составляется на предприятии по лицам, имеющим доступ к ПДн сотрудников и выполняющим с ними определенную работу, могут быть включены другие работники. Он варьируется в соответствии с Правилами внутреннего трудового распорядка.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector