Как организовать работу с персональными данными пошаговая инструкция

Чтобы обеспечить надлежащую обработку персональных данных и придерживаться нормативных требований, крайне важно хорошо разбираться в новейшей правовой базе.

Итак, в 2024 году каждая организация обязана:

• cоздать систему обработки, записи и хранения персональных данных в соответствии с последними требованиями законодательства.
• обеспечить соблюдение политик, регулирующих обработку персональных данных
• разработать необходимую документацию для процессов обработки персональных данных организации, охватывающую обработку, запись и хранение, в соответствии с обновленными требованиями Роскомнадзора и Закона № 152-ФЗ “О персональных данных”.
• своевременно представлять отчеты в Роскомнадзор.

Ответственность за обработку персональных данных, как внутри компании (сотрудники), так и за ее пределами (клиенты, пациенты, гости, участники мероприятий, партнеры и т.д.), в настоящее время является неотъемлемым аспектом обязательств каждого юридического лица.

Руководители должны осознавать, что управление обработкой, записью и хранением персональных данных взаимосвязано с различными рабочими задачами, включая управление персоналом, бухгалтерский учет, соблюдение законодательства и другие обязанности. Нарушения законодательства о персональных данных могут повлечь за собой штрафы в размере от 300 000 до 18 миллионов рублей.

Ответственность и штрафные санкции за нарушение правил обработки персональных данных

Штрафы за нарушения при обработке персональных данных изложены в статье 13.11 Административного кодекса. Недавно были ужесточены санкции за ненадлежащую обработку с введением новых штрафов и правил защиты. Эти изменения направлены на защиту частной жизни граждан и повышение ответственности организаций, получающих доступ к личной информации.

Например, с марта 2023 года были уточнены руководящие принципы уничтожения персональных данных. Штрафы за несоблюдение требований для индивидуальных предпринимателей составляют от 20 000 до 40 000 рублей, в то время как юридическим лицам могут грозить штрафы от 50 000 до 90 000 рублей. Учитывая динамичный характер законодательства о персональных данных, быть в курсе всех нововведений может быть непросто даже для штатных юристов.

Ответственность за нарушение законодательства о персональных данных изложена в статье 13.11 Кодекса об административных правонарушениях. Каждая компания, без исключения, получает и обрабатывает персональные данные, и этот процесс начинается еще до найма нового сотрудника, на этапе подбора персонала. Давайте рассмотрим, как организовать работу внутри предприятия, чтобы обойти санкции Роскомнадзора. Понимание термина “персональные данные” и понимание того, когда работодатель “обрабатывает” их, имеет решающее значение.

Компания размещает онлайн-объявление о приеме на работу, предлагая потенциальным кандидатам отправить резюме, сопроводительные письма и контактную информацию. С этого момента работодатель берет на себя ответственность за сохранность личной информации. Персональные данные включают в себя любую информацию о физическом лице, прямо или косвенно связанную с ними (статья 3 Закона № 152-ФЗ от 27.07.2006), и позволяет идентифицировать личность.

Для трудоустройства обычно требуются помимо стандартных реквизитов (полное имя, дата и место рождения, адрес регистрации) данные, включающие:

• номера СНИЛС,
• ИНН;
• паспортные данные;
• семейное положение, количество детей;
• информацию об образовании и квалификации;
• данные военного билета;
• информацию о доходах и имущественном положении;
• биометрические данные.

В судебной практике встречается отнесение к персональным данным и другой информации. Например, адрес электронной почты, номер мобильного телефона, информация о смерти гражданина и фотографии.

Защита персональных данных: пошаговые инструкции

Закон № 152-ФЗ обязывает работодателей предотвращать утечку личной информации, полученной во время работы.

Вот пошаговое руководство о том, как реализовать это на практике:

Шаг 1. Разработайте и утвердите местную политику в области обработки персональных данных.

Отсутствие политики в отношении обработки персональных данных сотрудников является основанием для привлечения компании к ответственности по статье 5.27 Административного кодекса. Непредоставление необходимой документации во время проверки Роструда может привести к штрафам в размере от 30 000 до 50 000 рублей.

В политике должны быть изложены:

• правила обработки, хранения и использования персональных данных физических лиц;
• перечень документов, содержащих персональные данные и, следовательно, требующих защиты;
• процедуры передачи перепроверенных данных внутри организации и третьим лицам;
• список лиц, имеющих доступ к персональной информации сотрудников;
• ответственность за нарушения правил, регулирующих обработку персональных данных, включая дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.

Шаг 2. Издайте приказ о назначении ответственного лица за сбор и обработку персональных данных.

Руководитель организации должен выбрать сотрудника, который возьмет на себя ответственность за надзор за управлением персональными данными (ПДН) внутри предприятия, как это предусмотрено частью 1 статьи 18.1 и частью 1 статьи 22.1 Закона № 152-ФЗ. Как правило, эта ответственность ложится на кого-то из высшего руководства, например, на начальника кадровой службы, начальника отдела безопасности или заместителя генерального директора. Кроме того, руководитель ИТ-отдела может быть назначен для управления обработкой данных в автоматизированных системах управления и контроля доступа.

Шаг 3. Определите группу лиц, имеющих доступ к персональным данным.

Определенный персонал регулярно занимается обработкой персональных данных во время выполнения своих обязанностей, включая специалистов по персоналу, которые взаимодействуют с соискателями, управляют регистрациями и сканируют личные документы в процессе найма. Доступ таким лицам должен быть предоставлен, и условия их полномочий должны быть четко определены (пункт 6 статьи 88 Трудового кодекса). Важно предоставлять различные уровни доступа в зависимости от должности и должностных обязанностей. Например, секретарь может использовать паспортные данные для покупки билетов, в то время как бухгалтер оформляет больничный лист, а руководители отделов могут получать доступ только к информации о своих подчиненных. Работодатель должен обеспечить обязательство о неразглашении от каждого члена команды, получившего доступ к персональным данным. В этом одностороннем документе указано, что физическое лицо (секретарь, главный бухгалтер, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам и не использовать личную информацию коллег в личных целях. В нем также записано, что физическое лицо было предупреждено об ответственности в соответствии со статьей 90 Трудового кодекса.

Шаг 4. Обеспечьте безопасное хранение персональных данных.

Способ хранения зависит от того, как обрабатываются данные. В полностью автоматизированной системе меры безопасности должны соответствовать приказу ФСТЭК № 21 от 18.02.2013 г., включая:

• ограничение доступа к электронным базам данных и индивидуальной информации для различных категорий сотрудников.
• внедрение двухуровневой схемы паролей на уровне локальной сети и базы данных.
• периодическую смену паролей, обычно раз в месяц.
• предоставление ключей исключительно авторизованному персоналу.

Для неавтоматизированной обработки, когда персональные данные хранятся на бумажных носителях, работодатель должен:

• определить места хранения физических носителей и обеспечить персонализированный доступ.
• составить список лиц, которым разрешен доступ к хранилищу.
• при необходимости оборудовать помещения системами видеонаблюдения и сигнализации.

Документы, требующие защиты, включают личные карточки, анкеты для собеседования с кандидатами, копии паспортов, информацию об опыте работы и предыдущих местах работы, бумажные трудовые книжки, свидетельства о браке и рождении ребенка, документы о воинском учете, справки о доходах и сумме налогов, документы об образовании и квалификации, копии СНИЛС, трудовые договоры, дополнительные соглашения, приказы и их копии, а также локальные акты, уточняющие персональные данные о конкретных сотрудниках.

Шаг 5. Получите согласие сотрудника на обработку персональных данных.

Хотя получение информации из документов сотрудника (паспорт, трудовая книжка, военный билет, диплом, СНИЛС) или резюме, а также на основании обязательных медицинских осмотров не требует согласия сотрудника, многие компании предпочитают получать ее при приеме на работу в качестве меры предосторожности для защиты от штрафов. С 2021 года для раскрытия перепроверенных данных неопределенной аудитории требуется еще один документ – согласие на распространение ПДН. Сценарии распространения могут включать публикацию информации об образовании и опыте работы специалиста на корпоративном веб-сайте, в журналах или газетах, на рекламных буклетах, визитных карточках и т.д.

Шаг 6. Отправьте уведомление в Роскомнадзор.

Сбор и обработка информации клиентов не могут вестись спонтанно. Еще до старта отправляется уведомление в Роскомнадзор, поэтому после разработки необходимой документации и проведения организационных и технических мероприятий, нужно отправить уведомление в РКН. В Роскомнадзоре доступна специальная форма уведомления для компаний, обрабатывающих персональную информацию. Отправка уведомлений возможна тремя способами:

• в местное отделение Роскомнадзора отправляется заполненный и распечатанный бланк;
• документ заполняется, подписывается и отправляется непосредственно на сайте Роскомнадзора;
• форма отчетности заполняется и отправляется ведомству на «Госуслугах». Формат доступен компаниям с утвержденной записью.

При желании подавать уведомления от имени компании на портале «Госуслуг» необходимо привязать учетную запись к организации.

Сведения по конкретному ОПД вносятся регулятором в реестр в течение 30 дней с момента отправки уведомления. Если в процессе отправки данных появятся изменения, необходимо будет передать информацию в Роскомнадзор. Уведомление передается и когда компания перестает собирать и обрабатывать личную информацию.

Изменения в работе с персональными данными в 2024 году

Подготовьте проект положения о персональных данных, включающий все поправки к Трудовому кодексу Российской Федерации. Загрузите образец 2024 года и убедитесь, что ваш документ соответствует последним изменениям законодательства. Организуйте процедуры обработки персональных данных в соответствии с обновленным законодательством, начиная с утверждения необходимых внутренних документов, включая положение о персональных данных. Важно отметить, что с 1 сентября компании обязаны уведомлять Роскомнадзор о планах по обработке персональных данных. Сюда входит информация о сотрудниках, гражданах, сообщающих только свою фамилию, имя и отчество, гражданах для разового прохода в помещения компании и физических лицах-подрядчиках для исполнения контрактов. До сентября информирование Роскомнадзора об обработке персональных данных сотрудников, посетителей и подрядчиков было необязательным (подпункты 1-6 пункта 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ, до внесения изменений). Теперь освобождение от уведомления Роскомнадзора применимо только к неавтоматизированной обработке персональных данных (подпункт 8 пункта 2 статьи 22 Закона № 152-ФЗ).

Положение о персональных данных в 2024 году

Разработка положения о персональных данных имеет решающее значение, поскольку оно служит корпоративным документом, описывающим процедуры обработки персональных данных физических лиц внутри организации. Компания получает различные данные о физических лицах: сотрудники предоставляют данные на этапе собеседования, клиенты предоставляют данные для заключения контрактов и предоставления услуг, а пользователи веб-сайта регистрируются, предоставляя свои данные. Будьте осторожны с персональными данными сотрудников, чтобы избежать возможных штрафов, поскольку некоторая полученная информация защищена законом. Компания собирает, записывает и накапливает информацию с последующей систематизацией и обновлением для обеспечения актуальности. Информация хранится для извлечения, использования или передачи третьим лицам. Когда необходимость в данных отпадает, они обезличиваются или уничтожаются в соответствии с конкретными процедурами, подробно описанными в положении о персональных данных.

Изменения в защите персональных данных: 2024 год

С 1 марта 2024 года вступает в силу пересмотренная редакция Закона № 152-ФЗ от 27.07.2006, вводящая новую форму обработки — распространение персональных данных. Если ваша организация планирует распространять данные, убедитесь, что в вашем регламенте предусмотрены соответствующие условия. Распространение предполагает предоставление информации широкой аудитории и требует индивидуального согласия. Это отличается от передачи, которая предполагает предоставление данных конкретным лицам. Избегайте путаницы и придерживайтесь новых правил, чтобы предотвратить осложнения, связанные с этим новым типом обработки данных.

Новый протокол обработки данных: распространение и согласие

Новая форма обработки данных, известная как распространение, предполагает предоставление информации широкой аудитории, что требует отдельного согласия отдельных лиц. Важно не смешивать передачу с распространением. Передача предполагает предоставление данных конкретным лицам, тип обработки, существовавший в законе ранее. Распространение, с другой стороны, влечет за собой публикацию данных в открытых источниках, доступных неопределенной аудитории, например, демонстрацию данных о сотрудниках в разделе “Наши сотрудники” на веб-сайте компании или размещение информации о физическом лице в печатных изданиях или средствах массовой информации.

Новое согласие на распространение

Для распространения данных требуется пересмотренная форма согласия. Согласие должно включать полное имя и контактную информацию физического лица, название и адрес оператора данных (компании, получающей согласие), цель обработки данных, список данных, разрешенных к распространению, условия и ограничения распространения, срок действия согласия и информацию о компании, получающей согласие. платформа, через которую будет осуществляться распространение.

Запрет на распространение общедоступных данных

Начиная с марта 2024 года, персональные данные, полученные из общедоступных источников, не могут распространяться без письменного согласия. Этот запрет распространяется на перепечатку данных, даже если физическое лицо первоначально поделилось ими в социальных сетях.

Публикация информации о согласии

Операторы обязаны публиковать информацию о полученных согласиях на распространение данных и связанных с ними запретах в течение трех дней. Закон не определяет точную платформу для публикации. Можно публиковать и на том же ресурсе, через который распространяете данные.

Как разработать Положение о персональных данных в 2024 году

В каждой организации должно быть положение о персональных данных, что является требованием статьи 87 Трудового кодекса Российской Федерации. Условия обработки данных регулируются Законом № 152-ФЗ от 27.07.2006, а также нормами Трудового и Гражданского кодексов, а также Кодекса об административных правонарушениях. Хотя утвержденной стандартной формы для предоставления персональных данных не существует, эксперты рекомендуют структурировать текст по определенным разделам.

Специалисты компании «EFSOL» являются экспертами в вопросах разработки документов о персональных данных, знают все о том как собирать, хранить персональные данные, могут надежно сопроводить Вас в щепетильном вопросе персональных данных.

Если Вам необходимо зарегистрировать производственный кооператив, пишите нам в EFSOL бот ЗАКАЗАТЬ или ОФОРМИТЕ ЗАЯВКУ НА САЙТЕ

Общие положения о защите персональных данных работника

Защита персональных данных работника – это комплекс мероприятий, направленных на безопасное хранение личной информации сотрудника, полученной при трудоустройстве или исполнении им трудовых обязанностей.

Работодатель является оператором персональных данных работника. Так называют государственный, муниципальный орган, юридическое лицо или ИП, которое получает, обрабатывает и хранит личную информацию сотрудников, определяет состав сведений, цели их сбора и перечень мероприятий, направленных на обработку (ст. 3 ФЗ-152 от 27.07.2006 г.).

Соблюдение законности сбора, обработки и хранения личной информации работников контролирует орган по защите прав субъектов персональных данных – Роскомнадзор:

• введет реестр всех операторов, осуществляющих обработку сведений;
• осуществляет контроль над соблюдением требований законодательства;
• реагирует на обращения, жалобы субъектов персональных данных;
• проводит проверку по поступившим сообщениям;
• представляет интересы лиц, чьи права нарушены, в суде.

В целях обеспечения соблюдения работодателем ФЗ-152 уполномоченный орган по защите персональных данных проводит плановые и внеплановые проверки. Плановые мероприятия осуществляются по графику, внеплановые – при возникновении необходимости, например, в случае поступления от субъекта сообщения о незаконном раскрытии персональных данных.

Как защитить персональные данные: пошаговая инструкция

Работодатель, как оператор персональных данных, не должен раскрывать сведения о работниках третьим лицам и распространять их без согласия на то субъекта информации (ст. 7 ФЗ-152 от 27.07.2006 г). Он обязан обеспечить безопасность сбора, обработки и хранения, а также определить мероприятия по защите персональных данных (ст. 18.1 ФЗ-152 от 27.07.2006 г). В частности, законодательством предусмотрены следующие меры по обеспечению сохранности личной информации граждан:

• назначение ответственного за безопасность персональных данных лица;
• разработка локальной документации, определяющей порядок сбора, обработки и хранения рассматриваемых сведений;
• применение регламентированных законом мер, направленных на безопасность персональных данных;
• оценка возможного вреда, который возникнет в случае нарушения работодателем ФЗ-152;
• ознакомление сотрудников, осуществляющих сбор, обработку, хранение сведений с нормами законодательства и их обучение (при необходимости).

Работодатель обязан обеспечить безопасность персональных данных работников, защитить их от несанкционированного доступа к ним, уничтожения, изменения, копирования, блокировки, чего достигают посредством выполнения комплекса мероприятий.

Разработка локальной документации о персональных данных сотрудников

Средства защиты персональных данных включают в себя не только технические меры, но и организационные. Первое, что обязан сделать работодатель – разработать положение о работе с личной информацией сотрудников. Отсутствие такого локального нормативно-правового акта приравнивается к неисполнению законодательства, содержащего нормы трудового права, что грозит административной ответственностью.

Единого образца положения о работе с персональными данными работников законодательством не установлено. Несмотря на это, в него нужно включить следующие сведения:

• порядок и правила сбора, обработки, хранения и передачи персональных данных;
• список документов, где содержится личная информация сотрудников;
• перечень лиц, имеющих доступ к таким сведениям;
• ответственных за безопасность персданных4
• ответственность за раскрытие сведений и несоблюдение мер, направленных на обеспечение безопасности.

Положение подписывает руководитель предприятия. С его содержанием знакомят всех сотрудников компании под личную подпись. Отсутствие листа ознакомления, ровно так же, как и положения о сборе, обработке, хранении персданных является поводом для привлечения работодателя к административной ответственности.

Назначение лица, ответственного за обработку персональных данных работников

Правовая защита персональных данных осуществляется ответственным за это лицом. Его назначает руководитель организации из числа сотрудников. Как показывает практика, чаще всего им становится кто-то из топ-менеджеров, например:

• начальник службы безопасности;
• руководитель кадрового отдела;
• старший менеджер ИТ-отдела;
• заместитель генерального директора и др.

Кто именно из сотрудников будет отвечать за безопасность персональных данных большого значения не имеет. Такие функции может выполнять непосредственно руководитель организации. Например, индивидуальные предприниматели зачастую самостоятельно обеспечивает надлежащий сбор, обработку, хранение и раскрытие личной информации о сотрудниках. Главное – назначить ответственное лицо соответствующим приказом.

Определение доступа к персональным данным

Работодатель обязан использовать все доступные ему методы защиты персональных данных. По долгу службы некоторые сотрудники должны иметь постоянный доступ к личным сведениям работников. Например, кадровик оформляет кадровые документы, бухгалтер – назначает выплаты, в том числе в связи с рождением ребенка, болезнью, отпуском, секретарь – покупает билеты, бронирует отель и т.д. Для выполнения таких функций сотруднику нужны персональные данные других трудящихся. Чтобы каждый раз не брать согласие на получение и обработку такой информации, важно определить круг лиц, кто имеет доступ к ней по умолчанию.

Сотрудников, обрабатывающих и использующих персональные данные работников, наделяют разным уровнем доступа к таким сведениям, в зависимости от должности и полномочий.

Важно! Лица, получившие доступ к персональным данным по долгу службы подписывают обязательство о неразглашении, за несоблюдение которого предусмотрена ответственность.

Узнайте, как правильно удалить трудовой договор уволенного работника с компьютера сотрудника отдела кадров, в системе КонсультантПлюс. Доступ в КонсультантПлюс является платным, стоимость его можно узнать здесь. Бесплатный пробный доступ на 2 дня можно подключить по ссылке.

Обеспечение безопасного хранения персональных данных работников

Работодатель обязан предпринять меры по защите персональных данных. По закону, хранить личные сведения сотрудников нужно до 75 лет (точный срок зависит от типа документов). Все это время компания должна обеспечивать сохранность информации, не допускать несанкционированного доступа к ней, копирования, изменения, блокирования данных и т.д.

Хранить документы, содержащие персданные, можно в электронной форме при помощи использования специализированных автоматизированных систем или в бумажной.

Ограничение доступа к данным работников, хранящимся на бумаге

Если компания применяет неавтоматизированную систему обработки, то, в целях обеспечения безопасности руководство обязано:

• определить надежные места хранения документов, например, сейф, архив;
• обеспечить закрытый доступ к материальным носителям;
• определить круг лиц, кто имеет доступ к закрытым данным;
• защитить помещение сигнализацией или другими средствами.

Не менее важно определить перечень документов, содержащих персональные данные сотрудников, которые подлежат охране. По закону, к ним относят:

• копии паспортов, СНИЛС, ИНН, свидетельства о браке, разводе, рождения детей;
• личные карточки, дела;
• анкеты, заполняемые соискателями;
• трудовые книжки, выписки из них, другие сведения о стаже, предыдущем месте работы, образовании, квалификации и пр.;
• копия военного билета и другие документы воинского учета, хранящиеся в организации;
• трудовой договор, дополнительные соглашения к нему;
• приказы о назначении на должность, переводе;
• внутренняя документация, где содержится личная информация о работниках.

Ограничение доступа к данным работников в электронной форме

Неавтоматизированная система обработки персональных данных уходит в далекое прошлое. Большинство компаний использует автоматизированные средства. Работодатель обязан обеспечить безопасность таких сведений посредством выполнения законодательных рекомендаций. Согласно Приказу №21 ФСТЭК, защита персональных данных осуществляется посредством выполнения следующих мероприятий:

• ограничения доступа к электронным базам, определением круга лиц, имеющих возможность пользоваться такими системами;
• применения двухфакторной аутентификации;
• регулярной смены паролей.

Ключи для доступа к электронным базам с персданными должны выдаваться лично в руки ответственным лицам. Их нельзя пересылать по электронной почте, через мессенджеры, называть по телефону, и тем более, передавать через других работников.

Получение согласия на обработку персональных данных

Каждый работник имеет право на защиту персональных данных и не обязан разглашать личную информацию о себе, если считает нужным. Но для трудоустройства без предоставления таких сведений не обойтись. Во-первых, соискатель заполняет анкету, во-вторых, подает работодателю паспорт, трудовую книжку, военный билет, ИНН, СНИЛС, диплом, подтверждение достаточной квалификации и другие документы. Несмотря на то, что по закону для сбора и обработки такой информации согласие от соискателя не требуется, многие компании берут его. Фактически, человек сам разрешает собирать и обрабатывать персданные, что подтверждено документально. Лучше перестраховаться, чем в будущем получить штраф от контролирующего органа.

Если работодатель планирует распространять персональные данные сотрудника, например, публиковать их на официальном сайте, на странице в социальной сети, на общедоступных стендах, журналах и т.д., то работник должен дать на это соответствующее согласие. Без такого документа нельзя даже напечатать визитку с номером телефона и именем работника.

Рекомендации Роскомнадзора по защите персональных данных

После вступления в силу поправок в Федеральный закон «О персональных данных» Роскомнадзор разработал и опубликовал рекомендации по применению норм законодательства. Обратите внимание на них.

1. Назначьте ответственное лицо. Четко определите перечень полномочий, касающихся сбору, обработке, хранению перснаднных.
2. Сократите объем собираемой личной информации. Например, для продажи товаров достаточно ФИО, адреса доставки и номера телефона покупателя. Чем меньше сведений вы получите, тем легче их хранить.
3. Сгруппируйте персданные по категориям. К примеру, разделите сведения о клиентах, работниках и соискателях.
4. Не собирайте личные данные, если в этом нет необходимости, например, не создавайте клиентский профиль, когда он нужен для единичной продажи. Удаляйте персональные сведения после их использования.
5. Используйте только собственную автоматизированную систему обработки персданных.
6. При обнаружении признаков утечки информации незамедлительно уведомляйте об инциденте Роскомнадзор.

Не забывайте о применении физических мер защиты персданных. Закрывайте доступ к помещению, где находятся носители информации, оборудуйте его видеонаблюдением.

Уведомление Роскомнадзора об обработке персональных данных

Для обеспечения защиты персональных данных в организации законодатель установил обязанность для работодателей уведомлять Роскомнадзор о намерении обрабатывать личную информацию. Такое извещение составляют по унифицированной форме и направляют в ведомство:

• на бумажном носителе Почтой России заказным письмом с уведомлением о вручении и описью вложений (желательно);
• онлайн, на официальном сайте Роскомнадзора;
• удаленно, через Госуслуги, если у компании есть идентифицированный аккаунт.

Обратите внимание, что работодатель обязан уведомить Роскомнадзор не только об обработке персональных данных, но и о их распространении. Например, это нужно, когда руководство планирует разместить фото сотрудника на «Доске Почета» в качестве работника месяца.

Определение уровня защищенности персональных данных

Работодатель обязан не только обеспечить надлежащую защиту, но и определить уровни защищенности персональных данных

Определить уровни защищенности можно онлайн, на официальном сайте ФСТЭК при помощи специального калькулятора.

Уровни защиты персональных данных регламентированы Постановлением Правительства РФ №1119 от 01.11.2012 г. Они зависят от тип угроз и численности сотрудников.

Что делать в случае утечки персональных данных сотрудника

Работодатель обязан немедленно уведомить Роскомнадзор о произошедшем несанкционированном доступе к персональным данным сотрудников и утечке информации. Далее он должен организовать внутреннюю проверку и установить:

• причины инцидента;
• виновных лиц;
• последствия.

Отчет о проведенном внутреннем расследовании направляют в Роскомнадзор в течение 3-х дней с даты выявления инцидента.

Ответственность за несоблюдение требований по защите персональных данных

За невыполнение или ненадлежащее выполнение требований к защите персональных данных работодателя могут привлечь к административной ответственности по ст.13.11 КоАП РФ.

За незаконный сбор, передачу, использование персональных данных предусмотрена уголовная ответственность в соответствии со ст.272.1 УК РФ.

Итоги

Работодатель является оператором персональных данных, в связи с чем он обязан обеспечить сохранность полученной от сотрудников личной информации. Способы и меры защиты персональных данных установлены законодательством. За несоблюдение регламентированных Постановлением Правительства требований и нарушение порядка сбора, обработки, хранения личной информации субъекта предусмотрена ответственность.

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных».