Персональные данные: как работать по закону?

Как правильно работать с персональными данными?

Что входит в обязанности сотрудника, ответственного за обработку персональных данных?

Согласно, ФЗ от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) “О персональных данных”, п.4 ст. 22.1 Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В своей деятельности ответственный сотрудник за организацию обработки персональных данных руководствуется Инструкцией, приказами, положениями и другими документами, регламентирующими защиту персональных данных в организации.

Обязанности сотрудника:

• выполнять требования нормативных актов, в том числе внутренних инструкций учреждения, о защите персональных данных;
• организовать и вести обработку персональных данных, в том числе контролировать процедуру уничтожения документов, содержащих персональные данные;
• составлять и предлагать на утверждение руководству учреждения перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным;
• осуществлять мероприятия по защите персональных данных в ходе их обработки;
• блокировать доступ к персональным данным в случае появления угрозы несанкционированного доступа;
• в случае обнаружения попытки несанкционированного доступа к персональным данным, Ответственный должен: – блокировать доступ к персональным данным; – доложить руководству; – сообщить о произошедшем администратору информационной систему персональных данных (далее – ИСПДн);
• контролировать: – выполнение мероприятий по защите персональных данных; – режим безопасности ИСПДн; – установку средств защиты информации; – физическую сохранность носителей персональных данных;
• проводить инструктажи и занятия по изучению правовой базы по защите персональных данных с работниками, имеющими доступ к персональным данным и вести журнал учета инструктажей и занятий;
• осуществлять контроль за соблюдением работниками организации порядка обработки персональных данных;
• не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами;
• оказывать консультационную помощь пользователям ИСПДн по применению средств защиты персональных данных;
• предлагать мероприятия по совершенствованию работы по защите персональных данных.

Законодательство РФ в области защиты персональных данных работников.

• Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)
• Директива Европейского Союза № 95/46/ЕС «О защите данных»
• Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях
• Трудовой кодекс РФ от 30 декабря 2001 г. № 197-ФЗ – Глава 14 «Защита персональных данных работника»
• ФЗ от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
• ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
• ФЗ РФ от 25 июля 2011 г. N 261-ФЗ  “О внесении изменений в Федеральный закон “О персональных данных”
• ФЗ от 30.12.2015 № 439-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”
• ФЗ от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части уточнения  порядка обработки персональных данных в информационно-телекоммуникационных сетях»
• Указ Президента РФ от 06 марта 1997 № 188 «Об утверждении перечня сведений конфиденциального характера»
• Указ Президента РФ от 17 марта 2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Распоряжение Президента РФ от 10 июля 2001 № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»
• Постановление Правительства РФ от 03 ноября 1994 № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
• Постановление Правительства РФ от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• Постановление Правительства РФ от 06 июля 2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
• Постановление Правительства РФ от 15 сентября 2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
• Приказ ФСТЭК России от 18 февраля  2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

Как обеспечить надежную защиту персональных данных?

В соответствие со ст. 19 ФЗ “О персональных данных” от 27.07.2006 N 152-ФЗ; с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Определение перечня мероприятий по защите персональных данных

Технические меры по защите персональных данных предполагают использование программно – аппаратных средств защиты информации. При обработке персональных данных с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных.

Обработка персональных данных. Объём и содержание обрабатываемых персональных данных работника.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Понятие и состав персональных данных.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В содержание персональных данных работника входят:

• анкетные и биографические данные;
• образование;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• сведения о заработной плате сотрудника;
• сведения о социальных льготах;
• специальность,
• занимаемая должность;
• наличие судимостей;
• адрес места жительства;
• домашний телефон;
• место работы или учебы членов семьи и родственников;
• характер взаимоотношений в семье;
• содержание трудового договора;
• состав декларируемых сведений о наличии материальных ценностей;
• содержание декларации, подаваемой в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики.

Когда нужно и когда не нужно получать согласие сотрудника на обработку персональных данных?

Согласно п. 5 ч 1 ст. 6 ФЗ от 27.07.2006 N 152-ФЗ “О персональных данных” обработка персональных данных допускается для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, …, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. В соответствии со ст. 86 ТК РФ, должно быть получено письменное согласие работника на получение персональных данных от третьих лиц, а в соответствии со ст. 87 ТК РФ письменное согласие работника необходимо на сообщение персональных данных работника третьей стороне за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами.

Случаи, когда не требуется получать согласие работника на передачу персональных данных, приведены в законодательстве и перечислены в разъяснении Роскомнадзора. Так, не требуется согласие работника не передачу персональных данных:

• в ФСС России и Пенсионный фонд России;
• в налоговые органы;
• в военные комиссариаты;
• в профсоюзные органы (в целях соблюдения трудового законодательства); –
• в органы прокуратуры (при получении мотивированного запроса);
• в правоохранительные органы (при получении мотивированного запроса);
• в органы безопасности (при получении мотивированного запроса);
• государственным трудовым инспекторам при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства.

Обязанность работодателя предоставлять персональные данные во всех вышеперечисленных случаях обусловлена полномочиями соответствующих органов на получение такой информации. Также рекомендуем предоставлять информацию о работнике в ответ на адвокатский запрос, в том случае, если полномочия адвоката на представление интересов работника подтверждены ордером, выданным соответствующим адвокатским образованием (п.1 ст.6.1 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»).

Получение персональных данных работников, соискателей

Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Согласно п. 1 ст. 9 ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Работодатель обязан представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных – обязанность доказать, что эти данные являлись общедоступными. Согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных (статья 9 Закона о персональных данных). Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.

Согласно п. 3 ст. 86 ТК РФ, если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

Порядок организации работ по обеспечению безопасности при обработке и хранении персональных данных работников

Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах Компании должно быть обеспечено:

• проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
• своевременное обнаружение фактов несанкционированного доступа к персональным данным.
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
• возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

• определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.
• разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
• проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.
• установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.
• обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.
• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
• учет лиц, допущенных к работе с персональными данными в информационной системе.
• контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
• разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации

• обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
• необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
• при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
• лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Компании), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки,

Обязательные документы в организации по персональным данным работников.

• перечень сведений конфиденциального характера;
• инструкция администратора информационной безопасности;
• приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
• перечень персональных данных, подлежащих защите;
• приказ об утверждении мест хранения персональных данных;
• инструкция пользователей информационной системы персональных данных;
• приказ о назначении комиссии по уничтожению персональных данных;
• порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
• план внутренних проверок режима защиты персональных данных;
• приказ о вводе в эксплуатацию информационной системы персональных данных;
• журнал учета носителей информации информационной системы персональных данных;
• журнал учета мероприятий по контролю обеспечения защиты персональных данных;
• журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
• правила обработки персональных данных без использования средств автоматизации;
• положение о разграничении прав доступа к обрабатываемым персональным данным;
• акт классификации информационной системы персональных данных;
• инструкция по проведения антивирусного контроля в информационной системе персональных данных;
• инструкция по организации парольной защиты;
• журнал периодического тестирования средств защиты информации;
• форма акта уничтожения документов, содержащих персональные данные;
• соглашение о неразглашении персональных данных;
• журнал учета средств защиты информации;
• журнал проведения инструктажа по информационной безопасности;
• инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
• приказ о перечне лиц, допущенных к обработке персональных данных;
• положение об обработке и защите персональных данных;
• план мероприятий по обеспечению безопасности персональных данных;
• модель угроз безопасности в информационной системе персональных данных;
• -должностные регламенты лиц, имеющих доступ к персональным данным;
• план внутренних проверок состояния защиты персональных данных;
• типовые формы документов, предполагающие или допускающие содержание персональных данных;
• договоры с субъектами персональных данных.

Как организовать работу с персональными данными соискателей?

Обработка персональных данных соискателей

1. Обработка персональных данных соискателей с целью: — принимать решения о приёме либо отказе в приёме на работу.
2. Обрабатываются персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.
3. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу.
4. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных». Если соискатель предоставил согласие на внесение его в кадровый резерв, Оператор может продолжить обработку персональных данных в течение срока, указанного в соглашении.
5. Работодатель не обрабатывает специальные категории персональных данных соискателей и биометрические персональные данные соискателей.
6. Работодатель обрабатывает следующие персональные данные соискателей:

• ФИО;
• год рождения;
• дата рождения;
• номер контактного телефона;
• адрес электронной почты;
• образование;
• трудовой стаж.

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

Какие документы о работе с персональными данными проверит инспектор?

Роскомнадзор проверяет:

• Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
• Обрабатывающие их системы (компьютеры и программы);
• Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
• Сайт компании в интернете;

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список:

• учредительные документы общества (свидетельство о государственной регистрации, ИНН, ЕГРЮЛ, устав общества и прочие);
• копия уведомления о намерении осуществлять работу с персональными данными (можно заменить выпиской из реестра операторов);
• список персональных данных, собираемых и охраняемых вашей компанией;
• список сотрудников, имеющих доступ к персональным данным, вместе с приказом об их допуске;
• инструкции сотрудников, которые в ходе своей трудовой деятельности обрабатывают персональные данные и обеспечивают информационную защиту;
• положение об ответственности работников за разглашение персональных данных и нарушение запрета доступа к ним;
• положения о коммерческой тайне, о защите персональных данных, хранящихся на предприятии;
• положения об особенностях обработки персональных данных, в том числе их обезличивания;
• документы, характеризующие систему защиты персональных данных (план мероприятий, акт определения уровня защищенности);
• положения, касающиеся информационной безопасности (об антивирусах, паролях, инструктажи сотрудников по требованиям информационной безопасности);
• соглашения о неразглашении персональных данных, подписанные всеми сотрудниками;
• бланки согласия граждан на обработку их персональных данных;
• журналы инструктажей сотрудников по вопросам информационной безопасности и прочих внутренних контрольных мероприятий режима защиты;
• журналы учета всех носителей информации, а также средств защиты информационных систем.

Проверка работы с персональными данными работников контролирующими органами.

Предметом проверки Роскомнадзора являются: деятельность по обработке персональных данных; документы, характер информации в которых предполагает или допускает включение в них персональных данных; информационные системы персональных данных, а не сотрудников компании. Помимо, документов инспекторы могут проверить компьютеры работников, которые ведут базы данных.

Ответственность за нарушение норм, регулирующих защиту персональных данных работников, с учетом изменений с 1 июля 2017 года

с 1 июля 2017 года вступил в силу ФЗ от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП. В частности, он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и существенное увеличение штрафов.

Административная ответственность:

Подготовил юрист ФИОКАН:  Скрынникова Екатерина.

Советуем почитать:

• Публичная оферта на оказание услуг по сопровождению оформления налогового вычета и декларированию доходов.
• Защита потребителя
• Недвижимость
• Семья
• Отмена штрафов и актов государственных органов