Как организовать работу с персональными данными без ошибок
Ошибки при работе с персональными данными — штрафы за нарушение закона о персональных данных — МамаЮрист.ру
Если ваша компания или организация нанимает сотрудников, собирает и обрабатывает ту или информацию о клиентах (ведет базу данных клиентов, или делает почтовые рассылки), имеет форму обратной связи на своем сайте, где посетители оставляют свои номера телефонов и адреса электронной почты, то с точки зрения законодательства вы уже являетесь оператором персональных данных, а из этого следует и ваша ответственность за обеспечение законной обработки этих сведений.
А ответственность за нарушение требования по обработке и хранению личных данных немалая: сейчас, во втором квартале 2017 года, штраф за нарушения составляет до 10 000 рублей, а уже с 01.07.2017 новый штраф за нарушения при работе с персональными данными вырастет до 70 000 рублей.
Кто является оператором персональных данных?
Статья №3 в пункте 2 Федерального закона N 152-ФЗ «О персональных данных» определяет кто является оператором персональных данных:
Таким образом в Российской Федерации нет такой компании, которая не имела бы отношения к оперированию персональными данными: даже если ваша компания просто набирает сотрудников, она уже подпадает под это понятие со всей вытекающей ответственностью перед законом.
С лета 2017 года кроме увеличения размера штрафа за нарушение требований хранения и обработки персональных данных, законодатели расширяют поле ответственности предпринимателей, вводя новые основания для наложения штрафа в статью 13.11 КоАП РФ (см. Закон № 13-ФЗ от 07 февраля 2017). К основаниям для наложение штрафа на оператора персональных данных относятся:
- невыполнение требований по уничтожению персональных данных,
- невыполнение требований по их обезличиванию,
- игнорирование запросов субъекта и отсутствие политики конфиденциальности при работе с персональными данными.
Ниже мы рассмотрим подробности данного вопроса: основные ошибки при работе с персональными данными, которые могут привести к штрафным санкциям со стороны Роскомнадзора.
Обработка персональных данных при найме работников без их согласия
Пример: при проведении проверки компании контролер Роскомнадзора не нашел в листе кандидата на должность специального поля, в котором ставится отметка о согласии на обработку персональных данных. Директор компании получил административное наказание в виде предупреждения.
Пытаясь обжаловать полученное предупреждение в суде, руководитель компании предъявил свои доводы о том, что специальная комиссия, созданная на предприятии для работы с персональными данными, следит за соблюдением на предприятии должных мер по поддержанию законного порядка сбора, использования и хранения личных данных работников, и заполнение личных карточек работников производится в присутствии данной комиссии. А положение о согласии работника на обработку его личных данных есть в тексте трудового договора. Но Самарский суд в постановлении № 4а-907/2016 от 22 августа 2016 г. не нашел эти доводы убедительными для отмены наказания.
Как не избежать штрафа за подобное нарушение: в каждой форме документов, в которой подразумевается наличие персональных данных, должно присутствовать поле, в котором владелец персональных данных мог бы согласиться на их обработку. Проведение аудита кадровых документов поможет быстро найти возможные дефекты документов, способных стать причиной штрафных санкций.
Передача персональных сведений клиентов третьим лицам
Например: стандартная ситуация, когда у абстрактного гражданина Иванова есть задолженность по кредиту перед банком. Банк передает персональные данные «гражданина Иванова» коллекторской конторе, с которой у кредитной организации заключен договор.
После этого «гражданин Иванов» и все его родственники получают каждый день множество неприятных минут общения с коллекторами.
Важно при этом, что «гражданин Иванов» не давал банку разрешения на передачу своих личных данных третьим лицам в подписанном сторонами кредитном договоре.
Потребовав у банка уничтожить его личные данные и прекратить незаконные действия, гражданин получил отказ и был вынужден обратиться в суд.
В своем заявлении гражданин указал, что коллекторы требовали погасить долг, угрожая ему в грубой форме, чем нанесли ему и его семье моральный ущерб, который он требует компенсировать, поскольку он переживал за жизнь и здоровье своих родных, которым поступали угрозы от коллекторов.
В данном случае суд удовлетворил требования истца, признал действия банка незаконными, обязал коллекторскую организацию уничтожить персональные данные гражданина, а также взыскал с банка и с коллекторов требуемую компенсацию (см. решение Ярославского областного суда по делу №33-939/2012 от 05 марта 2012 года).
Как не допустить санкции за передачу ПД третьим лицам: помните, что передача чужих персональных данных законна только в том случае, если сам субъект дал на это свое согласие.Единственное исключение из этого правила может быть только в случае, когда банк или другая компания продает долг гражданина по договору переуступки.
При этом кредитор, купивший право на долг, обязан оповестить субъект персональных данных о том, что теперь его персональные данные находятся у него.
Сбор персональных данных через форму обратной связи на сайте без публикации политики конфиденциальности
Пример: компания ООО «Тамбовская Городская Юридическая Компания» (ООО «ТГЮК») имела на своем сайте стандартную форму обратной связи, через которую посетители сайта могли отправлять сообщения администратору сайта.
Форма была предельно простой и имела всего три поля: имя (причем вводить его было необязательно), тема сообщения и само сообщение. Роскомнадзор на основании того, что на сайте не было политики конфиденциальности, оштрафовал компанию на 1 000 рублей, в соответствии со статьей 13.11 КоАП РФ.
ООО «ТГЮК» не согласилась с таким положением вещей, поскольку идентифицировать пользователя на основании такой контактной формы, в которой единственное идентифицирующее поле (имя) было необязательным, и направила заявление в суд.
Но суд не внял доводам компании и оставил меру наказания без изменения (см. постановление Тамбовского областного суда по делу №4А-288 от 04 октября 2016 г.
Как избежать штрафа за подобное нарушение: необходимо помнить, что размещение на своем сайте формы обратной связи с посетителями, через которую собираются личные данные, является работой с персональными данными и, соответственно, требует выполнения обязанностей оператора персональных данных. К этим обязанностям относится:
- обязательное уведомление Роскомнадзора о намерении компании собирать и обрабатывать персональные данные посетителей сайта;
- получение согласия субъекта на сбор его данных;
- разработать и опубликовать на своем сайте политику конфиденциальности при работе с персональными данными.
Штраф за отсутствие опубликованной на сайте политики конфиденциальности с 1.07.2017 года будет составлять 30 000 рублей. Соответствие требованиям Роскомнадзора требует при разработке контактной формы предусмотреть необходимость согласиться с политикой конфиденциальности предприятия до момента отправки формы.
Игнорирование отказа клиента от получения рекламы в сообщениях
Пример: согласие на обработку персональных данных Сбербанком было отозвано клиентом через почту России. Но это не помешало банку выслать на мобильный телефон этого клиента предложение рекламного характера, где ему предлагалось заключить договор кредитования. Клиент был вынужден подать в суд иск о незаконном использовании его персональных данных.
Банк, защищаясь, приводил доводы о том, что, во-первых, в тексте сообщения не называлось персональных данных клиента, по которым можно было бы его идентифицировать, и, во-вторых, данное сообщение было индивидуальным предложением этому клиенту, а вовсе не рекламой. Однако суд настоял на том, что сообщение было выслано исходя из того, что банк имел у себя такую личную информацию клиента, как его номер телефона, что позволило ему выслать рекламу, не считаясь с отзывом клиента согласия на обработку его данных.
То есть в суде было доказано использование персональных данных банком без получения согласия клиента и ответчику присужден штраф в 100 000 рублей в пользу истца для компенсации морального вреда (см. решение Новосибирского обл. суда по делу № 33-2662/2015 от 02 апреля 2015 года).
Как избежать штрафа и санкций за рассылку рекламных сообщений: нарушение воли субъектов персональных данных о недопущении использования их данных игнорировать нельзя, поскольку с 01.07.2017 г. штрафные санкции за подобное нарушение составляют до 40 000 рублей.
Субъект персональных данных между тем имеет право отказаться от обработки его данных, а также может получить информацию о том, кто имеет доступ к его данным, какие именно данные у него имеются и с какой целью и каким способам обрабатываются.Поэтому контакты лиц, имеющего доступ к персональным данным клиентов и предоставляющего информацию по клиентским запросам, должны быть открыто опубликованы и доступны для изучения.
Работа с персональными данными без локализации на территории РФ
Пример: Роскомнадзор обнаружил, что персональные данные пользователей из России в социальной сети Linkedin записываются, накапливаются, систематизируются и хранятся за рубежом, что является нарушением российского законодательства.
Направив требование об устранении нарушений в компанию, контролеры не добились его исполнения и в результате доступ к данной сети был ограничен, компания была внесена в реестр нарушителей прав субъектов персональных данных и деятельность linkedin была признана незаконной.
(МосГосСуд по делу №33-38783/2016 г. от 10 ноября 2016г.).
Как избежать санкции за подобную ошибку: обеспечение локализации персональных данных граждан ложится на плечи оператора персональных данных, согласно закона от 1.09.2015г.
Для устранения нарушения необходимо провести инвентаризацию баз данных и информационных систем. По каждой базе необходимо определить ее местонахождение. Локализация персональных данных касается в первую очередь этапа ее сбора.
Хранение и обработка собранных персональных данных может производиться и за пределами территории РФ.
Рекомендации по соблюдению требований ФЗ «О персональных данных»
Чтобы обеспечить соответствие требованиям законодательства в области защиты персональных данных, требуется или привлечение сторонних специалистов, что выливается в изрядные расходы, или работа внутри компании силами сотрудников.
Во-первых, необходим аудит сложившейся ситуации с обработкой и хранением персональных данных, ведь в любой компании личные данные обрабатываются в таких подразделениях, как отдел кадров, отдел маркетинга, служба продаж, доставки и пр. Проведя анализ движения и обработки персональных данных, можно выяснить степень защищенности информационной системы предприятия, эта степень зависит от количества субъектов, категории обрабатываемых данных и от типа информационных угроз.
Рекомендуется создать такой документ, как модель угроз, в котором перечислить виды предполагаемых нарушителей и распределить угрозы информационной безопасности по рассчитанной их актуальности. Рекомендуется использовать на данном этапе базовую модель угроз, которую можно взять на официальном сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК РФ).
Проводя аудит, не обойтись без анализа действующей на предприятии организационно-распорядительной документации, то есть приказов, журналов, регламентов, положений и пр.В первую очередь рассматриваются документы, связанные с персональными данными: согласие на обработку персональных данных, порядок из передачи третьим лицам, список членов комиссии, допущенных к обработке личной информации и порядок ее уничтожения.
Во-вторых, лицу ответственному за информационную безопасность поручается задача по проектированию технического решения сбора, обработки и хранения персональных данных. Он разрабатывает комплекс мер для обеспечения нужного уровня защиты, а именно: разработка подсистем, обеспечивающих ограничение программной среды, управление доступом, защита информационных носителей и т.п.
Разработка плана процесса защиты персональных данных может быть выполнена как силами сотрудников компании, так и с привлечением внешних подрядчиков и исполнителей. На этом этапе составляется перечень лиц, ответственных за обработку персональных данных, затем устанавливается уровень доступа к данным.
Рассчитываются затраты, формулируются требования к уровню защиты, создается план проекта и определяются риски.
После планирования и разработки системы безопасности информации идёт собственно её внедрение на предприятии (в компании), то есть покупка и установка оборудования из реестра сертифицированных средств защиты информации, программного обеспечения, настройка оборудования, пуско-наладочные работы и испытания по приемке, а также разрабатывается эксплуатационная документация. Реестр средств защиты, прошедших сертификацию, находится на сайте Федеральной службы по техническому и экспортному контролю РФ.
Далее идёт прохождение аттестации информационных систем организацией, имеющей лицензию ФСТЭК РФ на защиту конфиденциальной информации.
Аттестация добровольна для частных организаций и обязательна для государственных информационных ресурсов. Теперь можно запускать в действие непрерывный процесс защиты персональной информации.
Процесс защиты зависит от многих переменных: от изменения в законодательстве, от использования нового оборудования и программного обеспечения.При любом изменении в деятельности предприятия требуется вносить изменения в документацию по защите личных данных и, при необходимости, внедрять необходимые инструменты и средства защиты информации в дополнение к имеющимся, чтобы не допустить ошибки при работе с персональными данными.
Имейте в виду, что за прошлый год количество проверок Роскомнадзора на соответствие требованиям о защите персональных данных выросло на 70 %, а повышение штрафов за нарушения требований хранения и обработки персональных данных лишь подстегнет проверяющие органы к более активным рейдам.
Источник: https://www.mamajurist.ru/predprinimatelstvo/oshibki-pri-rabote-s-personalnymi-dannymi/
Как организовать работу с персональными данными без ошибок
Примеры документов из статьи: — ЗАЯВЛЕНИЕ на обработку персональных данных — Положение о персональных данных — ПРИКАЗ о назначении ответственных за обработку персональных данных — ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных — ДОГОВОР Об обработке персональных данных Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».
Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2 .
Так, собственник не имеет права: Кроме этого, работодатель должен соблюдать следующие требования: Помимо положения о персональных данных работодатель должен издать два приказа:
- о назначении ответственных за обработку персональных данных (см. Пример 3);
- о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).
Примеры бумажных носителей персональных данных: В-третьих, обеспечить в информационной системе следующие возможности: Итак, в организации для работы с персональными данными должны быть следующие документы:
Как организовать работу с персональными данными в кадровых подразделениях
п.
1 — 14. Кстати, Роскомнадзор в отчете по итогам 2010 г.
отметил , что компании нередко вообще не принимают никаких мер для предотвращения несанкционированного доступа к обрабатываемым ПДн, тем самым нарушая п. 13 Положения. Итак, на начальном этапе надо определиться, что именно мы будем охранять.
Для этого необходимо составить исчерпывающий перечень сведений, которые запрашиваются у соискателя и работника. Это правило очевидно лишь на первый взгляд. По словам сотрудников Роскомнадзора, наибольшее количество претензий связано именно с затребованием и обработкой ПДн, необходимость в которых ничем не подтверждена.
Обратите внимание: законодательством установлен минимальный стандартный перечень документов, которые необходимо требовать у соискателя при приеме на работу (ст.
65 ТК РФ): — паспорт или (при его отсутствии) иной документ, удостоверяющий личность (например, для иностранных граждан это будет документ, удостоверяющий их право на постоянное проживание в РФ); — трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства; — страховое свидетельство государственного пенсионного страхования; — документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); — документ об образовании, квалификации, наличии специальных знаний, стаже работы (при поступлении на работу, требующую специальных знаний или специальной подготовки); Также обращаем внимание, что при составлении перечня требуемых ПДн надо ограничиться действительно необходимыми сведениями, а условия их запрашивания следует установить в локальных нормативных актах.
5 шагов по организации учета и хранения персональных данных
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
К общим персональным данным можно отнести следующие сведения: Кроме того, в Законе о персональных данных упоминаются: У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.
В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется: 1) при получении персональных данных работника у третьей стороны (п.
3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п.
3 ст. 86 ТК РФ). В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ): Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч.
2 ст. 9 Закона о персональных данных).
Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.
2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ); Не во всех случаях требуется согласие работника на обработку персональных данных.
Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора): Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.
Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п.
7 ст. 86 ТК РФ). Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.
Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.
Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы: Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
Персональные данные сотрудников: обеспечение сохранности
После чего указывается наименование той организации, которой проверяемый дает разрешение на проверку.
В последующем необходимо указать основания проверки.
Закон запрещает таким сотрудникам разглашать сведения, которые стали им известны в связи с выполнением трудовых обязанностей. Пока штрафы за нарушения в сфере охраны персональных данных не так уж и высоки.
10 правил работы с персональными данными или Как не попасть под штраф из-за контактной формы на сайте
В феврале 2019 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные. Как узнать, являетесь ли вы тем самым оператором персональных данных?
Как работать с персональными данными, не нарушая закон? Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил. *Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.
Уведомление можно не подавать, если: Что делать, если ваш сайт содержит формы и позволяет получать персональные данные? 4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ. Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.
5 ошибок при работе с персональными данными, за которые грозят жесткие штрафы
- Как работать с персональными данными, чтобы избежать штрафов
- Зачем размещать на сайте политику конфиденциальности
- В каких документах с работником должна стоять отметка о согласии на обработку персональных данных
- Почему опасно игнорировать отказ клиента от получения рекламных сообщений
Ваша компания ведет работу с персональными данными: нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи? Тогда у вас проблемы. Для государства такая компания – оператор персональных данных, который несет ответственность за обеспечение законности их обработки.
Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2019 №13-ФЗ).
Например, невыполнение требований по обезличиванию, уничтожению персональных данных, игнорирование запроса субъекта, отсутствие политики конфиденциальности. Рассмотрим пять основных ошибок при работе с персональными данными, за которые грозят штрафы. Ошибка №1.
Работа с персональными данными через форму обратной связи без политики конфиденциальности С 1 июля 2019 года отсутствие такой политики обойдется компании в 30 тыс.руб. При разработке формы обратной связи реализуйте функцию получения согласия на обработку персональных данных: поставить соответствующую отметку до отправки анкеты.
Ошибка №2. Передача личных сведений посторонним лицам Ошибка №4.
Игнорирование отказа клиента от получения рекламных сообщений Как избежать штрафа.
Не игнорируйте обращения физических лиц – субъектов персональных данных: с 1 июля 2019 года за это нарушение оштрафуют на сумму до 40 тыс. руб.
Рассказывает практик Алексей Залецкий, Начальник отдела информационной безопасности компании «Амтел-Сервис», Москва Требования законодательства распространяются на организации любой формы собственности, обрабатывающие персональные данные работников, клиентов и иных физических и юридических лиц.
Копирование материала без согласования допустимо при наличии dofollow-ссылки на эту страницу
Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2019 года
Алексей Родин старший специалист по кадровому делопроизводству 1C-WiseAdvice Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.
Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.
Но обычно к ним принято относить:
- фамилию, имя, отчество;
- адрес проживания;
- электронный адрес;
- номер телефона;
- дата рождения;
- место рождения;
- национальность;
- вероисповедание;
- место работы;
- должность;
- рост;
- вес;
- и т.д.
Как должен защищать персональные данные отдел кадров Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. Если компания имеет дело лишь с персональными данными:
- сотрудников, работающих по трудовым договорам;
- работающих по договорам ГПХ;
- и иными физическими лицами.
Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится.
В таком случае Закон № 152-ФЗ обязывает компанию:
- уведомить Роскомнадзор о намерении обрабатывать персональные данные;
- подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется: Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.
- По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).
Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .
- Ознакомит со своей Политикой в отношении персональных данных клиентов.
- Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.
Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:
Как правильно организовать работу с персональными данными?
Доступ к персональным данным работников 6.1. Право доступа к персональным данным работников имеют:
- главный бухгалтер;
- руководители структурных подразделений по направлению деятельности (относительно только работников своего подразделения).
- руководитель Общества;
- секретарь
6.2. Работник Общества имеет право: 6.2.1.
Получать доступ к своим персональным данным и осуществлять ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные. 6.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
6.2.3. Получать от работодателя: 6.2.4.
Охрана труда
Определяемся с понятием.
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
Источник: http://opiniojuris.ru/kak-organizovat-rabotu-s-personalnymi-dannymi-bez-oshibok-42907/
Работа с персональными данными: новые штрафы и ответственность
- Как работать с персональными данными, чтобы избежать штрафов
- Зачем размещать на сайте политику конфиденциальности
- В каких документах с работником должна стоять отметка о согласии на обработку персональных данных
- Почему опасно игнорировать отказ клиента от получения рекламных сообщений
Ваша компания ведет работу с персональными данными: нанимает сотрудников, собирает информацию о клиентах, а на сайте есть форма обратной связи? Тогда у вас проблемы.
Для государства такая компания – оператор персональных данных, который несет ответственность за обеспечение законности их обработки.
Вы знаете, что налоговики при проверке могут цепляться к любому подозрительному факту о контрагенте? Поэтому очень важно проверять тех, с кем Вы работаете. Сегодня Вы можете бесплатно получить информацию о прошедших проверках Вашего партнера, а главное — перечень выявленных нарушений!
Узнать подробнее >>
Другой повод для беспокойства: в статью 13.11 КоАП РФ введут новые основания для штрафа (Федеральный закон от 07.02.2017 №13-ФЗ).Например, невыполнение требований по обезличиванию, уничтожению персональных данных, игнорирование запроса субъекта, отсутствие политики конфиденциальности.
Рассмотрим пять основных ошибок при работе с персональными данными, за которые грозят штрафы.
Ошибка №1. Работа с персональными данными через форму обратной связи без политики конфиденциальности
Специалисты Роскомнадзора обнаружили, что компания «ТГЮК» разместила на сайте форму обратной связи. При этом документ о политике конфиденциальности в отношении обработки персональных данных на сайте отсутствовал. Компанию оштрафовали на 1 тыс. руб. (ст. 13.11 КоАП РФ), и она обратилась в суд.
По ее мнению, идентифицировать человека невозможно, поскольку форма содержала всего три элемента: имя, тема и текст сообщения. Причем графа «имя» для заполнения необязательна. Однако эти доводы суд не убедили, и штраф отменить не удалось (постановление Тамбовского областного суда от 04.10.
2016 по делу №4А-288).
Как избежать штрафа. Размещение формы обратной связи на сайте расценивается как работа с персональными данными — сбор информации о гражданах.
Значит, компания должна выполнить обязанности оператора персональных данных.
А именно: уведомить Роскомнадзор о намерении собирать и обрабатывать персональные данные, получить согласие субъекта, разработать политику конфиденциальности и обеспечить неограниченный доступ к ней.
С 1 июля 2017 года отсутствие такой политики обойдется компании в 30 тыс. руб. При разработке формы обратной связи реализуйте функцию получения согласия на обработку персональных данных: поставить соответствующую отметку до отправки анкеты.
Ошибка №2. Передача личных сведений посторонним лицам
Гражданин задолжал банку по кредиту. Банк заключил агентский договор с коллекторской фирмой «Морган энд Стаут». По условиям договора банк передал персональные данные заемщика, и коллекторы начали звонить ему и его родным, требуя погасить долг.
Однако согласие на обработку и передачу персональных данных третьим лицам должник не давал. Он потребовал прекратить незаконные действия и уничтожить личные сведения, но ничего не добился. Тогда гражданин обратился в суд и потребовал компенсировать моральный ущерб.
Он заявил, что требования погасить долг поступали в грубой форме и ему пришлось переживать за жизнь и здоровье близких.
Суд обязал коллекторов уничтожить персональные данные должника, признал действия банка незаконными и взыскал с обеих организаций компенсацию морального вреда (определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012).Как избежать штрафа. Передавать персональные данные можно только с согласия субъекта. Исключение: если компания продает долг по договору переуступки. В этом случае уже новый кредитор обязан уведомить владельца персональных данных о получении личной информации.
Ошибка №3. Обработка персональных данных работников без согласия
Во время внеплановой проверки компании контролеры Роскомнадзора обнаружили, что в листе кандидата на должность нет поля для отметки о согласии на обработку персональных данных. Генеральному Директору вынесли предупреждение, которое он решил обжаловать в суде.
Руководитель пояснил, что на предприятии создана комиссия, ответственная за работу с персональными данными работников. Необходимые меры по соблюдению порядка сбора, хранения и использования персональных данных соблюдаются.
Личные карточки работников заполняются в их присутствии. Кроме того, трудовой договор содержит положение о согласии работника на обработку персональных данных.
Однако суд решил, что эти доводы не могут быть основанием для отмены административного наказания (постановление Самарского областного суда от 22.08.2016 №4а-907/2016).
Как избежать штрафа. В каждой типовой форме документов, которая предполагает включение персональных данных, должно быть поле для согласия на обработку. Поручите провести аудит кадровых документов и убедитесь, что они содержат соответствующую отметку.
Ошибка №4. Игнорирование отказа клиента от получения рекламных сообщений
Клиент Сбербанка отозвал свое согласие на обработку персональных данных через «Почту России». Однако примерно через месяц получил на телефон сообщение рекламного характера с предложением кредита. Клиент подал иск о незаконной работе с персональными данными. В суде банк упирал на то, что в сообщении содержалась не реклама, а индивидуальное предложение.
Кроме того, в тексте не указывалась информация о клиенте, на основании которой можно идентифицировать конкретное лицо. Значит, персональные данные не использовались. Однако суд согласился с доводами клиента – банк знал его телефонный номер, фамилию, имя и отчество – и обязал ответчика выплатить 100 тыс. руб.
в качестве компенсации морального вреда (определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015).
Как избежать штрафа. Не игнорируйте обращения физических лиц – субъектов персональных данных: с 1 июля 2017 года за это нарушение оштрафуют на сумму до 40 тыс. руб.
Помимо отзыва согласия на обработку гражданин вправе получить информацию о лицах, имеющих доступ к его персональным данным, о целях, способах и сроках обработки, о том, какие именно сведения о нем хранятся. Определите сотрудника, который предоставляет информацию по запросам клиентов. Его контакты должны находиться в открытом доступе.
Ошибка №5. Работа с персональными данными без локализации
В ходе мониторинга нарушений в интернете специалисты Роскомнадзора выявили, что популярная деловая соцсеть LinkedIn не обеспечивает запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России.
Контролеры направили требование об устранении нарушений, однако компания его не исполнила. Она сослалась на то, что обработка и хранение данных производится за рубежом.
Но суд отметил, что у сайта есть русскоязычная версия, он собирает личные данные граждан России, значит, обязан соблюдать требования российского законодательства.
В результате деятельность интернет-ресурса признали незаконной, доступ к нему ограничили, а компанию внесли в реестр нарушителей прав субъектов персональных данных (определение Московского городского суда от 10.11.2016 по делу №33-38783/2016).Как избежать штрафа. Оператор при сборе информации обязан обеспечить локализацию персональных данных граждан. Соответствующий закон вступил в силу еще 1 сентября 2015 года.
Проведите инвентаризацию информационных систем/баз данных, определите их местонахождение и составьте список. Обязательное требование о локализации персональных данных распространяется на первичный сбор информации.
Обработка и хранение данных может производиться за рубежом.
Рассказывает практик
Алексей Залецкий, Начальник отдела информационной безопасности компании «Амтел-Сервис», Москва
Роскомнадзор увеличил количество плановых проверок на предмет соблюдения требований о защите персональных данных на 70%. Бизнес все чаще обращается к услугам сертифицированных компаний. Так, число обращений к нам за последний год выросло вдвое. Однако организация может обеспечить соблюдение законодательства о персональных данных и без привлечения сторонних специалистов.
Требования законодательства распространяются на организации любой формы собственности, обрабатывающие персональные данные работников, клиентов и иных физических и юридических лиц.
- Аудит текущей ситуации. Почти все бизнес-процессы в компании включают обработку персональных данных через отдел кадров, службу продаж, маркетинг, службу доставки и другие подразделения. Проанализируйте потоки движения и средства обработки персональных данных: от бумажных до компьютерных носителей. Выясните уровень защищенности информационной системы на предприятии, который зависит от категории обрабатываемых персональных данных, количества субъектов, а также типа информационных угроз. После этого разработайте модель угроз – документ, определяющий виды возможных нарушителей и возможные угрозы безопасности с расчетом их актуальности. Базовая модель угроз размещена на сайте ФСТЭК России. Также понадобится пакет организационно-распорядительных документов (приказы, регламенты, журналы, политики, положения и т. д.), перечень которых строго не регламентирован. В основной перечень входят документ о согласии на обработку персональных данных, порядок их передачи третьим лицам, список сотрудников, допущенных к их обработке, порядок их уничтожения и т. п.
- Проектирование технического решения. При хранении и обработке персональных данных в информационных системах ограничиться одним пакетом документов не получится. Нужен целый комплекс технических мер, обеспечивающий требуемый уровень защиты. Например, это подсистемы, реализующие следующие функции: ограничение программной среды, защита носителей информации, управление доступом, выявление инцидентов и др. Данную задачу следует поручить специалисту по информационной безопасности.
- Подготовка процесса по защите персональных данных. Составьте список ответственных за обработку персональных данных в компании, установите уровни доступа к ним. Сформируйте расчет затрат, требования к уровню защиты, календарный план проекта, определите технические и организационные риски.
- Внедрение технического решения. Внедрение системы безопасности включает покупку, установку и настройку необходимого оборудования и программного обеспечения, проведение пуско-наладочных работ и приемочных испытаний, разработку эксплуатационной документации. Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России.
- Проведение аттестации. Аттестация информационных систем на соответствие требованиям безопасности информации обязательна в случае отнесения персональных данных к государственному информационному ресурсу. Для частных компаний она добровольна. Проводить аттестацию уполномочены организации, обладающие лицензией ФСТЭК России на техническую защиту конфиденциальной информации.
- Запуск процесса по защите персональных данных. Этот этап – цель всего проекта. Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который зависит от изменений в законодательстве, а также от изменений внутри самой организации. Так, если вы приобретаете новое оборудование, программы, расширяете бизнес, не забывайте вносить изменения в разработанный комплект документов, внедрять дополнительные средства защиты.
Копирование материала без согласования допустимо при наличии dofollow-ссылки на эту страницу
Источник: https://www.gd.ru/articles/9068-rabota-s-personalnymi-dannymi
Организация работы с персональными данными
С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Таблица 1. Документы, в которых содержатся персональные данные работников
| N | Документ | Сведения |
| 1 | Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) | Анкетные и биографические данные работника |
| 2 | Копия документа, удостоверяющего личность работника | Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
| 3 | Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) | Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность |
| 4 | Трудовая книжка | Сведения о трудовом стаже, предыдущих местах работы |
| 5 | Копии свидетельств о заключении брака, рождении детей | Состав семьи, изменения в семейном положении |
| 6 | Документы воинского учета | Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
| 7 | Справка о доходах с предыдущего места работы | Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
| 8 | Документы об образовании | Подтверждают квалификацию работника, обосновывают занятие определенной должности |
| 9 | Документы обязательного пенсионного страхования | Ф.И.О., личные данные |
| 10 | Трудовой договор | Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
| 11 | Приказы по личному составу | Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Положение о работе с персональными данными
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.
Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.
Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.
Таблица 2. Структура Положения о персональных данных работников
| N | Обязанность | раздела |
| 1 | Общие положения | Цель принятия Положения |
| Вопросы, которые регулирует Положение | ||
| Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе РоссийскойФедерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ | ||
| 2 | Основные понятия. Состав персональных данных работников | Основные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
| Перечень документов организации, которые содержат персональные данные | ||
| 3 | Получение персональных данных работников | Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
| 4 | Использование персональных данных | Цели использования личной информации сотрудников |
| 5 | Обработка персональных данных | Условия, соблюдаемые при обработке персональных данных работника |
| 6 | Передача персональных данных (доступ к персональным данным) | Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) |
| 7 | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных | Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Фрагмент Положения о персональных данных работников
Введение Положения в действие
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Образец приказа
Если есть профсоюз
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.
Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.
Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
| N п/п | Наименование локального нормативного акта | Дата | Подпись |
| 1 | Правила внутреннего трудового распорядка ООО «Черный лес» |
Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi