Защита персональных данных сотрудника: пошаговая инструкция

Финансовое право

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных сотрудника: пошаговая инструкция». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных
2. Чеклист: как компании защитить ПДн по закону
3. Обработка персональных данных в 2023 году
4. Что значит обрабатывать персональные данные
5. Рекомендации по составлению Политики
6. Штрафы за неуведомление Роскомнадзора
7. Можно ли использовать чужой документ «Политика по обработке персональных данных» вместо составления собственного?
8. Организация защиты персональных данных
9. Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
10. Оператор по обработке персональных данных
11. Политика конфиденциальности
12. Кого можно назначить ответственным

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Чеклист: как компании защитить ПДн по закону

  1. Обязательно изучить и соблюдать все 7 принципов обработки персональных данных, согласно статье 5 152-ФЗ.

  2. Предпринять все организационные и технологические меры для обеспечения необходимого и достаточного уровня защищённости данных. 4-й уровень защищённости оптимальный по затратам, но необходимо исходить из обработки ПДн, их количества и типов угроз, а не стремления к наиболее экономичному уровню защищённости.

  3. Выбрать вариант проверки качества защиты персональных данных — акт оценки эффективности или аттестация. На основе этого выбрать СЗИ.

  4. Выстроить в компании постоянный процесс по соответствию законодательству, чтобы проходить проверки Роскомнадзора (особенно это актуально для крупных и средних компаний).

  5. Если пользуетесь хостингами, при их выборе ориентироваться на два правила: серверы провайдера должны быть в РФ, сам провайдер должен быть аттестован по защите информации.

Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
Читайте также:  С какого числа льготные билеты на электричку в 2023 году

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Можно ли использовать чужой документ «Политика по обработке персональных данных» вместо составления собственного?

В поисках наиболее простого выхода из ситуации многие компании пользуются образцами — шаблонами документов, которые возможно найти в Сети. Это не запрещено, но рискованно, поскольку у каждого бизнеса есть определенная специфика, и то, что подходит одному предприятию, необязательно будет подходить другой организации. За ошибки придется дорого заплатить в прямом смысле слова, поэтому целесообразнее разрабатывать как политику компании в отношении обработки персональных данных, так и остальные документы «с нуля». Для этого нужно будет:

  • проанализировать работу фирмы в контексте ФЗ-152;
  • внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
  • просмотреть (не копировать) документы фирм с аналогичной специализацией;
  • составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

  1. Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

    Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

  2. Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
  3. Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

  1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
  2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
  3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
  4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
  5. Со всеми приказами работники должны быть ознакомлены под подпись.
Читайте также:  Выплаты за третьего ребенка в 2023 году

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Итак, первый шаг — получение согласия на обработку персональных данных, в случае, когда это согласие требуется. Следующий шаг – назначение ответственного лица за обработку персональных данных. Речь все-таки идет о конкретном лице. То есть, либо руководитель может эти функции возложить на себя, либо назначить кого-то из своих работников, повторюсь, именно работников потому, что приказом можно назначить только штатного сотрудника, а не добровольца, не лицо, которое оказывает услуги по гражданско-правовому договору – их назначить ответственным за обработку персональных данных нельзя. И в тех организациях, где нет сотрудников, – но это отдельная тема, у нас бывают такие организации, где нет ни одного сотрудника, что с точки зрения закона по мнению Государственной инспекции труда, налоговой и ряда судов такое, в принципе, невозможно, чтобы не было ни одного сотрудника, но, тем не менее, – в таком случае руководитель этой организации должен возложить это все на себя.

Если есть у вас такая роскошь — возможность назначить кого-то из штатных работников, соответственно, назначайте его приказом в качестве ответственного за организацию обработки персональных данных. Повторюсь, это прямое указание закона, поэтому необходимо исполнить. Плюс ко всему, в случае, если в организацию-таки придут проверяющие, они будут общаться непосредственно с лицом, которое назначено ответственным за обработку персональных данных, весь спрос будет именно с этого сотрудника.

Политика конфиденциальности

Тут еще какие бывают ошибки. У многих организаций на сайте встречается документ, который называется «Политика конфиденциальности». Это неправильно – закон говорит, что документ «в отношении обработки персональных данных». А конфиденциальность – всего лишь один из элементов обработки персональных данных – соблюдение режима конфиденциальности, поэтому документ должен называться «Политика в отношении обработки персональных данных». Как я уже говорил, по поводу электронной формы заполнения на сайте, если к вам субъект обращается через сайт, прикрепите эту «Политику…» к этой форме. То есть, пока человек не проставит галочку, что он ознакомлен, кнопка «Отправить» не всплывает. Как только человек поставил «галочку» – «Я ознакомлен», прочитал ли он ее на самом деле, это уже его проблемы. Тем самым вы снимаете с себя возможные претензии.

Читайте также:  Как получить загранпаспорт не по месту прописки

Второй документ, тоже определяющий политику оператора персональных данных, являющимся локальным актом по вопросам об обработке персональных данных — так называемое «Положение об обработке персональных данных». Этот документ уже подробный, и направлен вовнутрь организации. В нем подробно расписываются все действия с персональными данными, которые совершаются в организации, чего нельзя допускать и так далее. То есть, фактически, расписывается вся работа с персональными данными, и этот документ составлен уже для сотрудников организации.

Во-первых, все сотрудники должны под ведомость быть с этим положением ознакомлены, приложением к этому документу является ведомость ознакомления. И в нем уже прописывается буквально все, вплоть до того, какие технические средства в организации применяются. К техническим средствам мы тоже сейчас перейдем. И прописываются моменты вплоть до того, что, вот, если вы, например, сидите на первом этаже, в положении должно быть прописано, что экраны мониторов не могут быть повернуты к окну, чтобы посторонний человек не мог из окна заглянуть и получить, соответственно, доступ к тем персональным данным, которые в этом компьютере обрабатываются. Я понимаю, как это звучит, но, тем не менее. В этих положениях прописывается вплоть до того, что нельзя вводить персональные данные в компьютер под диктовку, дабы никто с улицы мимо проходящий не мог все это дело услышать. Ну, вот до таких, действительно, подробных моментов. То есть, прописываются подробно все эти моменты, как осуществляется работа с персональными данными в вашей организации.

К этому «Положению обработки персональных данных» необходимо приложить обязательство о неразглашении, которое также обязаны подписать все сотрудники. В этом заинтересована сама организация – в случае, если такое обязательство сотрудниками получено, в случае, если по неумышленному или, наоборот, злонамеренному умыслу кто-то из сотрудников разгласил персональные данные, то, если он давал обязательство, соответственно, организация может ответственность переложить на этого нерадивого сотрудника. Если эти обязательства с сотрудников не брались, полнота ответственности ложится на саму организацию. Поэтому тоже важно.

Кого можно назначить ответственным

В Законе № 152-ФЗ нет специальных требований, которые предъявляются к такому лицу. Системный анализ законодательства о персональных данных и сложившейся практики позволяет предположить, что ответственным можно назначить (п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059):

  • сотрудника оператора, в том числе руководителя организации, если в штате нет подходящего для этой цели работника;
  • иную организацию или ИП, специально привлеченных для этой цели.

Исключение — оператор, являющийся государственным или муниципальным органом, в котором ответственным может быть только (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211):

  • государственный или муниципальный служащий этого органа;
  • сотрудник этого органа, с которым заключен трудовой договор и который замещает должность не из числа должностей ГГС РФ.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *