Персональные данные. Новые требования к защите сведений о сотрудниках

За персональные данные теперь штрафуют строже. Что важно проверить

Персональные данные. Новые требования к защите сведений о сотрудниках

С 1 июля 2017 года за неправильную работу с персональными данными работодателя будут штрафовать на 75 000 рублей. У Роскомнадзора теперь есть семь оснований для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей (ст. 13.11, п. 58 ч.

2 ст. 28.3 КоАП РФ). Раньше штрафы применяла прокуратура. Чтобы у директора не было нареканий к кадрам по поводу сохранности персональных данных, проверьте себя на предмет ошибок в работе с помощью нашего теста. Ваши ответы покажут, какими суммами может рисковать компания.

 

Когда нужно получать у работников согласие на обработку персональных данных

Проверяющие выяснят, получала ли кадровая служба согласие работника на обработку данных в случаях, когда оно требуется. Не всем понятно, когда согласие предполагается по умолчанию, а когда нужен письменный документ.

Пояснения. Поскольку сотрудник выступает стороной трудового договора, получать у него согласие на обработку персональных данных не обязательно. Но собирать информацию о сотруднике работодатель может строго в ситуациях, указанных в законе, коллективном договоре и локальных актах (п. 2, 5 ч. 1 ст.

6 Закона от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 Разъяснений Роскомнадзора от 14 декабря 2012 г., далее – Разъяснения). Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил: 
– по результатам обязательного предварительного медосмотра (ст. 69 ТК РФ, п.

3 Разъяснений);
– из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК РФ);
– от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
– из резюме кандидата, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст.

6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, предусмотренном личной карточкой формы № Т-2. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Чтобы узнать дополнительную информацию о работнике, например, номер его мобильного телефона или адрес личной электронной почты, потребуется согласие. Ведь если такие сведения отсутствуют, это не мешает исполнять трудовой договор.

Поэтому, чтобы исключить спорные ситуации, рекомендуем все же при приеме на работу получить у сотрудника письменное согласие на обработку данных и включить в него информацию, которая нужна для эффективного взаимодействия с работодателем.

Пояснения. Чтобы изготовить пропуск, получите письменное согласие работника использовать его фотографию. В этом случае фото нужно, чтобы идентифицировать человека, а значит, оно относится к биометрическим персональным данным.

Их можно обрабатывать только с письменного согласия работника (ч. 1 ст. 11 Закона № 152-ФЗ).

Поэтому, если организация применяет пропускную систему и оформляет электронные пропуска, по которым можно установить личность, она должна заручиться письменным согласием каждого сотрудника на обработку фотографии1.

Если письменное согласие не получить, Роскомнадзор выдаст предписание (постановление Пятнадцатого арбитражного апелляционного суда от 14 марта 2014 г. № 15АП-22502/2013).

За обработку биометрических персональных данных без письменного согласия работодателю как минимум сделают предупреждение или оштрафуют.

Для должностных лиц штраф может составить от 10 000 до 20 000 рублей, для организаций – от 15 000 до 75 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

Как хранить в кадровой службе документы, содержащие персональные данные

Много вопросов вызывает хранение личных документов работников в кадровой службе организации. Разберемся, какие есть ограничения и нужно ли проставлять на документах с персональными данными специальные грифы.

Пояснения. Работодатель нарушает закон, если собирает и хранит лишние данные о сотрудниках. Роскомнадзор может обязать компанию устранить нарушение, а с 1 июля 2017 года – объявить предупреждение или оштрафовать.

За это нарушение закон предусматривает наказание в виде предупреждения или штрафа. Для должностных лиц штраф может составить от 5000 до 10 000 рублей, для организаций – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Работодатель вправе собирать только те данные о сотруднике, которые нужны, чтобы исполнять трудовой договор или закон. Нельзя обрабатывать лишнюю информацию «на всякий случай» (п. 2 ст. 86 ТК РФ, ч. 5 ст. 5 Закона № 152-ФЗ).

Установить личность соискателя при приеме на работу можно, если он предъявит паспорт (ст. 65 ТК РФ).

Чтобы заполнить титульный лист трудовой книжки или личную карточку, достаточно попросить работника показать свидетельство о заключении или расторжении брака, рождении ребенка, военный билет и т. п.

Закон не требует, чтобы работодатель оставлял копии личных документов сотрудников у себя.

Если кадровая служба хранит копии паспорта, страниц военного билета, свидетельств, то Роскомнадзор признает, что она обрабатывает избыточные персональные данные и нарушает права сотрудника.

Суды в таких спорах поддерживают надзорный орган (постановления ФАС Северо-Кавказского округа от 21 апреля 2014 г. по делу № А53-13327/2013, от 11 марта 2014 г. по делу № А53-10287/2013).

Чтобы избежать претензий Роскомнадзора, уничтожьте копии паспортов и иных документов сотрудников, хранить которые в компании закон не требует. Если понадобится уточнить какие-то сведения, попросите сотрудника показать оригинал документа.

Пояснения. Проставлять на папках с документами, которые содержат персональные данные, гриф ограничения доступа к документу не обязательно. Закон не устанавливает такого требования.

Работодатель должен исключить неправомерный или случайный доступ к персональным данным, в том числе к тем, которые хранятся на материальных носителях, то есть личным делам, трудовым книжкам, приказам и прочей кадровой документации (ч. 1 ст.

9 Закона № 152-ФЗ). Конкретные меры защиты и требования к местам хранения носителей персональных данных компания определяет самостоятельно в положении о защите персональных данных (п.

13 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Обычно документы на бумажных носителях хранят в сейфах или металлических несгораемых шкафах с замками либо специально оборудованных помещениях. Доступ к документам должны иметь только сотрудники, включенные в перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ.

Кого можно привлечь к ответственности за разглашение персональных данных

Все кадровики имеют дело с персональными данными. Но доступ к ним могут иметь и другие сотрудники организации. Выясним, как утвердить список таких работников и кого можно уволить за разглашение персональных данных.

Скачать и распечатать образец

Пояснения. Работодатель должен приказом утвердить перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться персональные данные2 (образец выше). Обычно в перечень входят генеральный директор, его заместители, сотрудники кадровой службы, бухгалтерии, службы безопасности, юридического отдела и т. д.

В перечне нужно указать Ф.И.О. конкретных работников, а не список должностей. Если сотрудник уволится, в перечень вносят изменения.

Если перечень лиц, которые обрабатывают персональные данные, отсутствует или в нем указаны не Ф.И.О.

работников, а должности, Роскомнадзор выдаст предписание (постановление Четырнадцатого арбитражного апелляционного суда от 21 января 2013 г. по делу № А44-5910/2012).

Пояснения. Уборщицу нельзя уволить по инициативе работодателя за разглашение персональных данных других сотрудников, так как о размере зарплат она узнала не в связи со своими обязанностями. Функционал уборщицы не предполагает работы с персональными данными, и она не подписывает обязательство их не разглашать.

Сотрудника, который разгласил персональные данные другого работника, можно уволить по инициативе работодателя (подп. «в» п. 6 ч. первой ст. 81 ТК РФ). Но это допустимо, если одновременно выполняются два условия (п. 7 ст. 86 ТК РФ, п.

43 постановления Пленума Верховного суда РФ от 17 марта 2004 г. № 2):– такие сведения работник получил в связи с исполнением им трудовых обязанностей;

– сотрудник подписал обязательство о неразглашении персональных данных (образец ниже).

Скачать и распечатать образец

1. Если вы обрабатываете только те данные, которые нужны для исполнения трудового договора, это законно и без согласия сотрудника. Однако возможны споры о составе таких данных, поэтому безопаснее заручиться согласием сотрудника в письменном виде.

2. Не храните в кадровой службе копии паспортов и иных документов сотрудников. Чтобы уточнить какую-то информацию, просите сотрудника показать необходимый документ.

3. Утвердите перечень работников, которые обрабатывают персональные данные, и получите у них обязательство не разглашать такую информацию. Иначе вы не сможете привлечь их к ответственности за утечку персональных данных.

Источник: https://e.kdelo.ru/569455

Защита персональных данных: категории, состав, защита, ответственность | Правоведус

Персональные данные. Новые требования к защите сведений о сотрудниках

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее – ПДн) – это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.

3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. “О персональных данных”).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей – для физических лиц; от 5000 до 10000 рублей – должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Персональные данные. Новые требования к защите сведений о сотрудниках

Персональные данные. Новые требования к защите сведений о сотрудниках

Стенограмма видеолекции А.В. Слепова.

  • Персональные данные. Новые требования к защите сведений о сотрудниках

А.В.

Слепов: Интерес к теме персональных данных в последнее время возрос в связи с тем, что вступил в силу так называемый закон о локализации баз персональных данных, а также в связи с тем, что проверки в сфере защиты и обработки персональных данных были выведены из под сферы действия закона № 294-ФЗ о защите прав предпринимателей при проведении мероприятий госконтроля и надзора.

Что является персональными данными

Основным вопросом является вопрос о том, что является персональными данными. Согласно определению, данному в законе о персональных данных, в качестве таковых рассматривается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

 Это очень широкое определение и практически любые данные могут быть отнесены к разряду персональных. Важно отметить, что определение персональных данных, которое действовало до 2011 года, согласно которому в качестве персональных данных понимались данные, на основании которых можно определить конкретное физическое лицо, к сожалению, больше не применимо.

 В качестве примера можно сказать, что такой набор данных, как наличие в электронной подписи или просто в подписи, электронном письме данных, таких как ФИО, адрес электронной почты, должность, место работы, контактные данные, эта совокупность данных может рассматриваться как персональные.

Кто является оператором персональных данных?

Согласно закону, оператор это орган власти, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами, организует или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав таких данных и совершаемые с ними действия. В качестве оператора персональных данных также могут выступать и иностранные компании, причем не только в лице филиалов и представительств иностранных компаний, которые зарегистрированы на территории РФ, но и компании, которые не имеют никакого юридического присутствия на территории России.

В том случае, если, к примеру, у компании есть интернет-сайт и с помощью этого сайта компания осуществляет бизнес в России, например ,  в таком случае требования законодательства о персональных данных все равно будут распространяться на иностранную компанию.

Иногда разделяются понятия оператора и обработчика персональных данных, под которым понимается лицо, которое осуществляет обработку персональных данных по поручению оператора.

Считается, что такое лицо действует не самостоятельно, оператором не является и, соответственно, требования законодательства о персональных данных к нему не применимы, однако, это не так, понятия обработчика пока в нашем законодательстве нет, в принципе, любая компания, которая, так или иначе, осуществляет обработку персональных данных будь то самостоятельно или по поручению другого лица рассматривается в качестве оператора. Например, компания, которая оказывает услуги по сдаче в аренду сервисных мощностей, также является оператором в терминах закона о персональных данных.

Обработка персональных данных

Обработка персональных данных – любое действие или совокупность действий, как с использованием компьютера, так и без его использование, которое совершается в отношении персональных данных, например: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, уничтожение и др. действия.

Иногда мы сталкиваемся с позицией компаний о том, что они же персональные данные не обрабатывают, они их просто хранят.

Это может быть применимо к компаниям, которые предоставляют серверы для хранения данных, поскольку сам процесс хранения уже рассматривается как процесс обработки персональных данных, соответственно лицо становится оператором и должно выполнять требования законодательства о персональных данных.

В результате обезличивания персональных данных, соответствующие обезличенные данные персональными быть не перестают. Именно таким образом сформулирован наш закон о персональных данных, соответственно, к таким данным продолжают применяться требования законодательства о персональных данных.

Если вы собираете общедоступные данные, например, с использованием интернета, социальных сетей и т.д., то такого рода деятельность тоже рассматривается как обработка персональных данных.

Локализация баз персональных данных

Основной новеллой является закон о локализации баз персональных данных, который вступил в силу с 01 сентября 2015г.

и касается он не только иностранных компаний и компаний, которые входят в международный холдинг, он может касаться любой компании, к примеру, те из них, которые используют так называемые «облачные услуги».

Операторы, которые такие услуги предоставляют, часто используют серверные мощности, которые расположены не на территории РФ. Согласно основной части закона № 242-ФЗ с 011.09.2015г.

оператор персональных данных при сборе таких данных, в том числе с использованием интернета, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, включая обновление и изменение, и извлечение персональных данных  граждан РФ с использованием баз данных, которые находятся на территории РФ.

Данное положение вызвало много споров, трактовок, к примеру, одним из основных спорных вопросов является вопрос о том, достаточно ли обеспечить сохранение персональных данных в базе данных, расположенной  на территории РФ, только при первичном сборе данных или вторичная обработка, например, перенесение данных из одной системы в другую, также подпадает под действие закона.

Что считать базой персональных данных

Примечательно, что между Минсвязи и Роскомнадзором, который является регулятором в сфере защиты персональных данных, возник спор о том, что считать базой персональных данных.

По мнению Министерства, базой персональных данных являются только электронные базы, по мнению Роскомнадзора это могут быть также и физические базы, такие как картотеки, личные дела.

Если исходить из того, что шкаф с личными делами в отделе кадров может рассматриваться как база данных, то составление соответствующего набора документов может рассматриваться в качестве первичного сбора, соответственно, при определенных трактовках закона, может  рассматриваться как его выполнение, даже если впоследствии эти данные вносятся в системы, расположенные на территории РФ.

 К сожалению, до сих пор официальных толкований по этим и другим спорным вопросам нет, более того, ни Минсвязи, ни Роскомнадзор не уполномочены такие комментарии давать.

Можно ли передавать персональные данные за границу

Несмотря на всю строгость закона о локализации, все-таки, ошибочно полагать, что данные нельзя передавать в зарубежные страны. Безусловно, что как таковая трансграничная передача данных остается разрешенной, более того, запрещена быть не может, поскольку это бы противоречило Европейской Конвенции, членом которой является Россия.

В качестве примера такой передачи можно рассматривать передачу резервной копии в иностранную компанию, например, компанию, входящую в одну группу с российской дочерней компанией.

С другой стороны, разрешен также доступ со стороны иностранных коллег к тем базам данных, информационные системы которых расположены в РФ, но при условии, что от работников, если доступ осуществляется к их данным, получено письменное согласие, а также, при условии того, что права доступа должным образом урегулированы на локальном уровне.

Источник: https://www.tspor.ru/article/1632-personalnye-dannye-novye-trebovaniya-k-zashchite-svedeniy-o-sotrudnikah

Ответственность за нарушение федерального закона о защите персональных данных

Персональные данные. Новые требования к защите сведений о сотрудниках

На сегодняшний день интернет фактически приобрёл статус параллельной реальности. Сеть служит для множества людей местом отдыха, поиска новых знакомств, общения с друзьями и даже работы! И практически в каждой новой локации всем приходилось сталкиваться, когда требуется информационная защита персональных данных.

Например при вводе личной информации при регистрации: ФИО, почта, телефон… Однако всегда ли это безопасно? Что делать в случае утечки информации и стоит ли указывать при регистрации кличку любимого котика — ответы в соответствии с Буквой Закона вы сможете найти в этой статье.

закона о защите персональных данных 152 фз

Все вопросы о безопасности персональных данных в России регулируются 152 Федеральным законом от 27 июля 2006 года. Контролю подлежит как зафиксированная в печатных документах, так и электронная информация.

В целом идея закона состоит в непременной конфиденциальности личных материалов: только сам пользователь может предоставить доступ к собственным данным.

Так же вся информация должна быть немедленно удалена из общего доступа по первому требованию владельца данных.

: помимо основ 152-ФЗ так же важно отметить положение от 1 сентября 2015 года, согласно которому персональная информация на любого гражданина РФ должна обрабатываться и храниться только на территории России и русских серверах.

Согласно установленному порядку, данные пользователя могут быть подвергнуты обработке при:

  • согласии владельца;
  • важной роли искомых материалов в процессе достижения обоснованных Конституцией РФ или Международными соглашениями целей;
  • судебном разбирательстве;
  • необходимости обеспечения гражданской безопасности;
  • проведении исследований.

152-ФЗ НЕ регулирует такие случаи, как:

  1. Обработка персональных данных пользователя физическим лицом в личных интересах (при условии сохранения конфиденциальности). Проще говоря, если бывшая подруга что-то усиленно выискивает на вашей страничке в социальной сети — это не преступление.
  2. Архивация данных.
  3. Работа со сведениями, относящимися к государственной тайне.
  4. Использование материалов, предоставленных в судебном порядке и имеющих отношение к судебной деятельности.

Для подобных ситуаций существуют отдельные законы и методы урегулирования вопросов.

Какие данные относятся к персональным

К личным сведениям относится информация, подходящая для идентификации личности субъекта. К таковым можно отнести:

  • ФИО;
  • сведения о времени и месте рождения;
  • адрес;
  • семейное положение;
  • контактные данные (электронная почта, мобильный телефон);
  • паспортные данные;
  • информация о работе и заработках;
  • фото;
  • аккаунты в соцсетях и персональные сайты.

Данные параметры являются определяющими на сегодняшний день, однако с 2017 года Роскомнадзор всё активнее говорит о соответствующем статусе cookie-файлов, сведений о местоположении и IP-адресе.

В группу НЕ включаются регистрационные данные (логин и пароль) и никнеймы (и другие обезличенные данные), поскольку они не несут никакой смысловой нагрузки.

Что предпринимать на сайте

В целях личной безопасности рекомендуется:

  1. Пользоваться системой сложных паролей и двойной защиты (двухфакторной аутентификации — проверка, при которой, к примеру, сначала вы вводите стандартный логин-пароль, а затем проходите авторизацию с помощью sms-кода). Желательно ставить защиту не только на различных сайтах, но и на важные папки и учётную запись на компьютере.
  2. Заходить только на сайты с HTTPS-протоколом. Это когда в адресной строке вы можете видеть помимо пути ещё и зелёный замочек (зачастую с надписью «защищено).
  3. Встроить VPN-сервис в браузер. Это поможет избежать взлома персонального устройства в местах раздачи публичной Wi-Fi сети.
  4. Настроить антивирусник.
  5. Использовать шифровальные средства.
  6. Установить программы по анализу защищённости ПК, регистрации и ликвидации вторжений.

Интернет-безопасность не ограничивается онлайн-подстраховкой. В это понятие включается также возможность утечки информации непосредственно с компьютера при помощи сетевого взлома.

Именно в связи с этим фактом необходимо заботиться о защите как аккаунтов в сети, так и самого ПК. Так же не рекомендуется менять пароли слишком часто — это лишь облегчит хакерам жизнь.

Остановитесь на одной максимально надёжной комбинации или используйте менеджеры паролей.

: отдельного разговора заслуживает так называемая таргетированная реклама.

Знакома ли вам ситуация, когда вы ищете информацию в сети, и на одном из сайтов вдруг выскакивает уведомление об использовании cookie-файлов? Именно файлы подобного формата являются одной из явных угроз персональной безопасности, поскольку механизм их эксплуатации заключается в кочевании на ваше устройство (ПК, телефон или планшет) и обратно на сайт, с возможной передачей личных материалов.

Таргетированная реклама — это метод маркетинга, основанный на поиске целевой аудитории в сети, восприимчивой к сообщениям. И как раз в данном случае компании могут воспользоваться вашими данными с помощью cookie. Во избежание этого следует:

  • регулярно очищать историю браузера;
  • закрыт доступ к системному диску;
  • периодически чистить сам диск.

Так же не рекомендуется привязывать банковские карты к платёжным системам непроверенных сайтов. И помните: если вы не уверены в той или иной сетевой локации — лучше всё-таки прочесть пользовательское соглашение.

Какая информация должна быть в соглашении

пользовательского соглашения регламентируется частью 4 статьи 9 152-ФЗ. Документ предполагает следующие пункты:

  1. Получатель информации — ФИО физического лица или название компании.
  2. В чём заключается необходимость получения данных.
  3. Чёткий список персональных сведений, на использование которых владелец соглашается.
  4. Информация об операторе, занимающегося обработкой данных (также ФИО физического лица либо наименование конторы).
  5. Описание самого способа эксплуатации данных.
  6. Срок действия соглашения.
  7. Примечание о возможности пользователя отозвать своё согласие.

Помимо вышеперечисленного, сайт обязан предоставить открытый доступ к сведениям о собственной политике конфиденциальности и разместить ссылку на соответствующий документ, а так же уведомлять пользователя об использовании данных cookie, IP и геопозиции.

Мероприятия по защите персональных данных на предприятиях в организациях

В организациях хранением и защитой конфиденциальной информации сотрудников занимается отдел кадров или бухгалтерия (реже — служба безопасности, режимный отдел и прочие). Каждый член отдела должен в обязательном порядке подписать акт о неразглашении. Отдельно также обговаривается передача данным сторонним людям и организациям (к примеру, в Пенсионный фонд РФ).

В любой конторе должен иметься внутренний регламент обработки персональных данных сотрудников и круг лиц, ответственных за данную работу. Все сведения в аналогичном порядке находятся в открытом на работников доступе. Кроме того, компания обязана:

  • лично предоставить сотруднику для утверждения на подпись соглашение на эксплуатацию его личных данных (или добавить соответствующие пункту в трудовой договор) и ознакомить сотрудника с внутренними документами учреждения;
  • при передаче данных вне компании (в банки, рекламные агенства и тому подобное) — заключать поручения на использование персональных сведений и уведомлять работника;
  • отвечать на вопросы коллектива касательно персональных данных;
  • уполномочить защищать персональные данные сотрудника (с помощью паролей, хранения в закрытом доступе и т.п.)

Положение о защите данных работников

В структуру договора входят общие положения (со ссылками на цели использования получаемых сведений), информация об обрабатываемых данных, средства использования и обеспечения сохранности информации и перечень лиц, имеющих доступ к личным сведениям сотрудника.

Документ непременно должен утверждаться руководством — печатью и подписью начальника организации. Лишь после этого положение является действительным.

Что касается самих данных — как правило, организация запрашивает:

  • ФИО;
  • контакты;
  • информацию об образовании и семейном положении;
  • гражданство и данные паспорта;
  • степень владения иностранными языками;
  • сведения об опыте работы;
  • адрес регистрации и фактического проживания.

В зависимости от специфики работы может потребоваться информация о грантах, научных достижениях, доступу к государственной тайне и прочему.

Работодатель обязан известить персонал о способе и месте хранения данных, степени допуска и включить (при наличии) в перечень подлежащих защите документов дополнительное соглашение (трудовой договор, приказ, анкета, личное дело, лист учёта кадров).

Проверки органа Роскомнадзора, штрафы для ИП и юрлиц

Последние поправки в законодательство были внесены на основе разработок от 1 июля 2017 года. Недобросовестные работодатели и администраторы сайтов теперь подвергнутся следующим мерам взыскания:

НарушениеФиз. лицоОтветственный сотрудникЮр. лицоИП
Использование персональных данных в целях, не прописанных в соглашении/не предусмотренных закономштраф 1-3 тыс. рублей или предупреждениештраф 5-10 тыс. рублей или предупреждениештраф 30-50 тыс. рублей или предупреждение
Эксплуатация информации без согласия субъекта3000-500010000-2000015000-75000
Отсутствие доступа к внутреннему регламенту обработки ПД и политике конфиденциальности700-15003000-600015000-300005000-10000
Дезинформирование пользователя/сотрудника насчёт обработки сведений о нём1000-2000 или предупреждение4000-6000 или предупреждение20000-40000 или предупреждение10000-15000 или предупреждение
Отказ владельцу персональных данных в оказании желаемого воздействия на информацию (корректировка либо удаление сведений)1000-2000 или предупреждение4000-10000 или предупреждение25000-45000 или предупреждение10000-20000 или предупреждение
Халатность при осуществлении защиты информации, что привело к утечке или внеплановой корректировке700-20004000-1000025000-5000010000-20000
Несоблюдение необходимости обезличивания сведений3000-6000 или предупреждение

Деятельность компаний и сайтов контролируется Роскомнадзором. Согласно закону, плановая проверка осуществляется раз в три года; соответствующая информация отображается на сайте городской Прокуратуры.

А как часто вы сталкиваетесь с недобросовестным отношением к конфиденциальной информации пользователя? К каким последствиям это приводило? Что можете сказать вы по вопросу интернет-безопасности?

Источник: https://prodvigaem.pro/blog/zashhita-personalnyh-dannyh/

Составляем приказ о персональных данных работников

Персональные данные. Новые требования к защите сведений о сотрудниках

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

  • назначение ответственного за организацию процесса обработки данных;
  • определение перечня лиц, допущенных к сбору, хранению и обработке;
  • утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

  • собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
  • указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
  • указание ответственному лицу ознакомить работников с распорядительным документом;
  • определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Как заполнять

Приказ может состоять из следующих разделов:

  1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
  2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
  3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
  4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
  5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Скачать

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Скачать

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Источник: https://gosuchetnik.ru/shablony-i-formy/sostavlyaem-prikaz-o-personalnykh-dannykh-rabotnikov

ПравБаза
Добавить комментарий