Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре. Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона.
Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.
152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов. Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):
- с какой целью вы собираете персональные данные;
- не собираете ли вы их больше, чем нужно для ваших целей;
- сколько храните персональные данные;
- есть ли политика обработки персональных данных;
- собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.
Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:
- Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
- Политика оператора в отношении обработки ПДн (тут есть рекомендации по оформлению).
- Приказ о назначении ответственного за организацию обработки ПДн.
- Должностная инструкция ответственного за организацию обработки ПДн.
- Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
- Перечень информационных систем персональных данных (ИСПДн).
- Регламент предоставления доступа субъекта к его ПДн.
- Регламент расследования инцидентов.
- Приказ о допуске работников к обработке ПДн.
- Регламент взаимодействия с регуляторами.
- Уведомление РКН и пр.
- Форма поручения обработки ПДн.
- Модель угроз ИСПДн.
После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.
Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.
Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных. Призовем на помощь определение из закона:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Источник: статья 3, 152-ФЗ
Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее. Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн. Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ. Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.
Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.
Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. Источник: п.3, статья 6, 152-ФЗ
Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. Источник: п.3, статья 6, 152-ФЗ
За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Источник: 152-ФЗ.
В поручении также важно прописать обязанность обеспечения защиты персональных данных:
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119
Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.
Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается. УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные. На уровень защищенности влияют следующие моменты:
- тип персональных данных (специальные, биометрические, общедоступные и иные);
- кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
- количество субъектов персональных данных – более или менее 100 тыс.
- типы актуальных угроз.
Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.
- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн. Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр. Вам не подходят угрозы 1 и 2 типов, значит, вам сюда. С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн. Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119. Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг. Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы. Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить). Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.
Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г.
К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком «+» обязательные меры – они как раз и рассчитаны в таблице ниже.
Если оставить только те, которые нужны для УЗ-3, то получится 41.
Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.
Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:
- заинтересован продать побольше сертифицированных СЗИ;
- будет бояться отзыва лицензии регулятором, если что-то пойдет не так.
Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.
В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия: Обеспечение безопасности персональных данных достигается, в частности: […]
- 3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:
[…] использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:
- Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
- Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:
- Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
Что общего у этих формулировок? Правильно – в них нет требования использовать сертифицированные средства защиты. Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме. Пункт 12 Приказа № 21 ФСТЭК России.
Реальность: закон не требует обязательного использования сертифицированных средств защиты.
Тут несколько нюансов:
- Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
- Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
- Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
- Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ.
Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов. KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д. Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.
Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.
Источник: https://habr.com/post/446696/
Документальное обеспечение при организации защиты персональных данных на предприятии
Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.
Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.
Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:
- частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
- инструкцию пользователя конфиденциальной информации (п. 13);
- инструкцию администратора данных (п. 13);
- журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
- список (перечень) лиц, которые допущены к обработке (п. 13 (в));
- электронный журнал обращений (п. 15, 16);
- приказ с перечнем мест хранения (п. 13).
Политика предприятия в области защиты персональных данных
До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.
Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.
Внутренние документы регулируют:
- общие принципы работы;
- порядок обработки на бумажных носителях;
- правила работы в информационных системах;
- особенности хранения;
- порядок передачи;
- инструкция для сотрудников;
- другие моменты.
Перечень основных локальных документов
Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:
- положение об обработке персональных данных (ст. 22);
- план мероприятий для проведения контроля (ст. 18.1);
- распорядительный акт о назначении ответственных (ст. 22.1);
- внесение дополнений в должностные инструкции (ст. 22.1);
- форма согласия на обработку персональных данных (ст. 6 и 9);
- форма запроса на доступ (ст. 14);
- формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).
Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.
Алгоритм утверждения положения о защите персональных сведений
Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.
Процесс принятия и внедрения локального акта состоит из нескольких этапов:
Читайте так же: Оформляем отсутствие сотрудника на рабочем месте
- создание проекта;
- получение согласования от компетентных специалистов компании;
- введение в действие путем подписания приказа;
- доведение документа до сотрудников, которые знакомятся с ним под роспись.
В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.
Основные разделы Положения
Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:
- общие сведения;
- список информации и документов, содержащих данные о гражданах;
- обязательства нанимателя;
- процедура предоставления личных сведений;
- способы и виды работы с информацией о гражданах;
- оформление доступа к сведениям;
- защита конфиденциальной информации;
- права и обязанности субъекта;
- ответственность должностных лиц и компании.
Перечень информации, относящейся к персональной
Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:
- обезличенные – по ним нельзя определить конкретное лицо;
- общие – первичные и основные;
- специальные – здоровье, религия, раса, нация и т.д.;
- биометрические – физиология и биология.
Персональные данные – это любые сведения, относящиеся к физическому лицу.
В перечень входит:
- фамилия, имя, отчество;
- число и населенный пункт рождения;
- адрес проживания;
- информация о документе, удостоверяющем личность;
- СНИЛС;
- ИНН;
- сведения о дипломах;
- информация о полученных доходах и оплате труда;
- семейный статус;
- другое.
Методы сбора и защиты ведомостей
Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.
Согласно Закону № 152-ФЗ фирма обязана:
- определить, кто будет отвечать за организацию процесса обработки личных данных;
- ввести в работу внутренние документы;
- обеспечивать безопасное применение и использование;
- контролировать процесс работы с информацией;
- предотвращать вред, если будет нарушено законодательство;
- знакомить с правилами работы граждан, принимаемых по трудовому договору.
Закон от 27.07.2006 № 149-ФЗ называет методы защиты:
- реализация правил конфиденциальности;
- пресечение неразрешенного доступа;
- выявление фактов незаконного доступа и устранение вреда;
- организация защиты технических средств;
- запись резервных копий.
Назначение ответственных за хранение и обработку
Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:
- начальник кадрового отдела;
- инспекторы отдела по работе с персоналом;
- работники бухгалтерии;
- специалисты отдела информатизации.
Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:
- взятие у гражданина согласия;
- согласованность с поставленными задачами и целями.
В процессе обработки информации оператор выполняет следующие действия:
- собирает;
- уточняет;
- систематизирует;
- использует;
- удаляет;
- хранит.
Нарушения положения и ответственность должностных лиц
Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.
Читайте так же: Классификаторы ОКПД 2 и ОКВЭД 2 при медосмотре
- ст. 13.11 – нарушение порядка работы с информацией;
- ст. 13.12 – несоблюдение правил защиты;
- ст. 13.14 – разглашение сведений;
- ст. 19.5 – невыполнение предписания контролирующего органа.
В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.
Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.
Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.
Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.
Инструкция для работников
В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:
- безопасного использования различных программ и технических средств;
- применения логинов и паролей;
- предоставления доступа;
- антивирусной защиты;
- работы с носителями;
- другие моменты.
Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.
О том, как организовать защиту информации на предприятии, рассказано в видео ниже.
Рекомендуем другие статьи по теме
Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/zaschita-personalnyh-dannyh.html
Хранение персональных данных: закон 2019, нюансы, рекомендации
Из этого материала вы узнаете:
- Что такое персональные данные
- Что указано в законе о хранении персональных данных
- Каковы плюсы и минусы хранения персональных данных в электронном виде
- В чём особенности хранения персональных данных работников в организации в электронном и бумажном носителе в 2019 году
Хранение персональных данных — задача не сложная, однако требующая от исполнителя четкого соблюдения всех правил и норм. К тому же, если их нарушить, можно получить крупный штраф. Законодательство РФ регулирует отношения в области хранения и обработки личных данных человека.
Следовать данным нормам и правилам важно, вдобавок необходимо постоянно актуализировать эту информацию. Законы часто подвергаются изменениям, а также в них регулярно вносятся поправки.
Из нашей статьи вы сможете узнать всю необходимую информацию относительно хранения и обработки личных данных человека.
Что такое персональные данные
Персональные данные, они же личные данные (далее по тексту ПД и ЛД), — информация, которая непосредственно связана с конкретным человеком.
Нашу жизнь уже невозможно представить без автоматизированных систем управления. Данные физических лиц постоянно попадают в различные базы и часто из них плавно утекают.
- Чтобы защитить данную информацию физического лица, был создан федеральный закон, регулирующий порядок хранения и использования персональных данных.
- Такое понятие, как персональные данные, — прежде всего юридический термин, нежели технический.
- Как следствие, стала проще процедура защиты и снизились риски проникновения в личные данные сторонних лиц.
На сегодняшний день обработкой данных физлиц занимаются:
- Банки.
- Работодатели.
- Органы государственной власти.
- Другие организации, работа которых налагает обязанности по сбору и хранению персональных данных человека.
Работа с данной информацией обязательно должна быть организована с учетом всех норм и правил независимо от задач, требующих использования данной информации.
Среднестатистический человек чаще всего предоставляет свои личные данные для обработки в банковские учреждения. И в случае если становятся очевидны нарушения его прав, выход из положения — только судебные разбирательства. Одно неверное действие может привести к фатальным последствиям.
«Аутсорсинг персонала: виды, плюсы и минусы» Подробнее
Желательно перед посещением учреждений, требующих предоставления личной информации — изучить нормативные акты, регулирующие обработку личных данных. Это даст вам возможность самостоятельно проконтролировать свои права в полном объеме.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в ст. 3 дает определение персональным данным. Исходя из него ПД — любая информация, которая прямо или косвенно относится к субъекту ПД — определенному или определяемому физлицу (дальше по тексту — закон о персональных данных).
К общим личным данным относятся такие сведения, как:
- ФИО;
- место и дата рождения;
- адрес места жительства (регистрации);
- профессия, уровень образования;
- фото человека (видеозаписи), которые позволяют установить личность и с этим умыслом использоваться оператором (разъяснения Роскомнадзора от 30.08.2013 года «О вопросах отнесения фотографий, видеозаписей, дактилоскопических данных и других сведений к биометрическим личным данным и особенностей их обработки»);
- наличие детей, семейное положение, ближайшие родственники;
- предыдущие места работы, армейская служба, работа на выборных должностях, государственная служба, наличие судимости и другие факты из биографии;
Источник: https://sales-generator.ru/blog/khranenie-personalnykh-dannykh/
Документы о персональных данных работников и их образцы: обязательство о неразглашении и другие
Специалисты кадрового отдела любой организации в своей деятельности обязательно сталкиваются с частными сведениями о работниках, от их получения при приеме на работу до обработки, хранения, а в некоторых ситуациях передачи. В связи с этим в организациях должны разрабатываться локальные нормативные акты, регламентирующие работу с личной информацией о сотрудниках.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67. Это быстро и бесплатно!
Скрыть содержание
Как работать с личными сведениями?
Ст.
86 ТК РФ указывает на то, что личные данные работника являются сведениями, необходимыми работодателю для вступления в трудовые отношения с конкретной персоной, при этом конкретного перечня необходимых для этого сведений законодательство не устанавливает.
Этой же статьей вводится понятие обработки, что включает в себя получение, хранение, комбинирование, передачу или любое другое использование личных данных работника. Эти данные сотрудник указывает на бланках специальной формы при оформлении по ТК РФ.
Более детально о законном порядке хранения и использования персональных данных работников на бумажных и электронных носителях узнайте тут.
Все сведения, касающиеся личности работника являются конфиденциальными. На деле, это говорит о необходимости строгого ограничения доступа к ним, а лица, такой доступ имеющие (согласно приказу для выполнения своих должностных обязанностей), могут работать с ними только с согласия владельца.
Документы, устанавливающие порядок защиты
Ст. 7 ФЗ «О персональных данных» от 27 июля 2006 г. № 152 обязывает организации, являющимися операторами по обработке персональных данных работников, обеспечивать конфиденциальность полученных сведений. Для соблюдения этих требований в организациях разрабатывается ряд защитных мер по предотвращению несанкционированного доступа к частной информации о сотрудниках.
Статья 7 ФЗ №152. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В перечень специализированных документов, устанавливающих порядок обработки данных, может входить:
- Положение о персональных данных.
- Правила работы с личными сведениями.
- Приказ о допуске к осуществлению действий с такого рода сведениями.
- Приказ об утверждении списка лиц, имеющих доступ к частным данным сотрудников.
- Соглашение о неразглашении.
- Согласие работника на передачу частных сведений третьим лицам.
- Регламент о защите личной информации.
- Должностные инструкции.
Подробнее о том, как заполнить заявление на обработку и на другие операции с персональными данными работника, читайте тут.
Причем работодатель должен обеспечить защиту данных как внутреннюю, так и внешнюю. Для внутренней защиты, например, разрабатываются списки сотрудников, имеющих доступ к частным сведениям. Их рабочие места должны быть оборудованы так, чтобы никто не мог беспрепятственно получить доступ к просмотру, изъятию документов, содержащих личную информацию сотрудников.
Ответственность за хранение информации
- ТК РФ прописывает также необходимость реализации правильного хранения данных о персонале в соответствии с федеральными законами.
- Некоторыми работодателями утверждается Приказ об отведении территории для хранения конфиденциальной информации о сотрудниках.
- Физическое хранение обеспечивается использованием следующих документов:
- личное дело;
- трудовая книжка;
- трудовой договор;
- договор о материальной ответственности;
- штатное расписание;
- анкета либо резюме, заполненные при приеме на работу.
Все эти документы сшиваются в отдельные папки и расставляются в алфавитном порядке.
При электронном способе хранения вся информация хранится в базе персональных данных, и тогда программисты организации должны обеспечить правильность ее хранения и защиты.
С этой целью может быть разработан Проект системы защиты информационной базы, хранящей личные сведения.
На практике работодатели предпочитают совмещать хранение данных на бумажных носителях и в электронном виде.
Лица, виновные в несоблюдении законодательства о персональных данных, привлекаются к дисциплинарной и материальной ответственности, согласно ст. 90 ТК РФ, а также привлекаются к гражданско-правовой, административной и уголовной ответственности по ст. 13.11 КоАП РФ, ст. 137 УК РФ).
Статья 90 ТК РФ. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Соглашение: что это такое, каково его содержание и как составить?
- название организации-оператора, получающей согласие;
- ФИО сотрудника, дающего согласие, его адрес, контактные номера, данные паспорта;
- для каких целей оператором производятся действия с информацией о сотруднике;
- конкретизированный список сведений, на работу с которыми получают согласие;
- что именно будет произведено с полученной информацией о сотруднике в процессе обработки (хранение, комбинирование, передача);
- период времени, на который будет распространяться согласия, по его завершении любые действия с личными данными работника будет невозможна.
Форма согласия не унифицирована, может быть разработана кадровиками предприятия, наличие даты и подписи сотрудника, дающего согласие обязательно.
Важно! Работодателю необходимо иметь письменное согласие не только от работников, числящихся в штате организации, но и от соискателей, а также от работников, с которыми заключены договоры подряда.
Регламент допуска к обработке персональных данных составляется по образцу в организации в соответствии с ТК РФ, ФЗ «О персональных данных» от 27 июля 2006 г. № 152 и другими нормативными актами.
Текст допуска к персональным данным содержит:
- цель допуска к работе с персональными данными работника;
- список персональных данных, к обработке которой требуется допуск;
- обоснование причин допуска к действиям с персональной информацией о работнике;
- порядок прекращения допуска к обработке.
Обязательство о неразглашении
Все сотрудники, имеющие отношение к работе с частными сведениями, составляют и подписывают соглашение об их неразглашении по образцу, который им предоставляется в отделе кадров. Образец обязательства о неразглашении можно найти на тематических сайтах.
Как правило, в нем указываются:
- ФИО, должность сотрудника;
- письменное обязательство не передавать сведения о сотрудниках посторонним лицам, принимать необходимые меры по защите персональных данных, уведомлять руководство о фактах несанкционированного доступа к конфиденциальным сведениям и т. д.;
- ответственность за нарушение соглашения;
- подпись сотрудника, подтверждающая пройденный инструктаж о порядке работы с информацией, касающейся личности работника.
Справка: после прекращения права допуска к частной информации, сотрудники, подписавшие соглашение, на протяжении одного года не имеют права передавать полученные сведения третьим лицам.
В связи с ужесточением российского законодательства о персональных данных, видится целесообразным составление на основании образца в организации документов, регламентирующих обработку, защиту, хранение такого рода информации о работниках. Это позволит избежать штрафных санкций и уголовной ответственности.
- Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
- +7 (800) 350-22-67Это быстро и бесплатно!
Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/na-rabotnika/dokumenty-po-per-dan.html
Персональные данные работника в 2020 году: инструкция — Институт Профессионального Кадровика
29 Ноября
2785
#CNT# data-template-html-inactive=В избранное #CNT#>
Работодатель сталкивается с вопросом о персональных данных постоянно.
Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.
Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.
Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.
Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.
Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.
О персональных данных в российском правовом поле информируют:
- Конституция России.
- Трудовой кодекс.
- Федеральный закон «О персональных данных» №152-ФЗ.
- Кодекс об административных правонарушениях.
- Уголовный кодекс.
Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.
Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».
В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.
КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.
Нормативные акты устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.
- Избыточность.
- Целеполагание.
То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.
Какие данные являются персональными:
- фамилия, имя, отчество;
- дата, место рождения;
- биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
- адрес прописки или фактического жительства;
- семейное положение, состав семьи;
- биографические данные;
- профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
- сведения о доходах и имуществе;
- номера ИНН и СНИЛС; контакты – телефон, электронная почта;
- информация о воинской обязанности;
- медицинская информация и диагнозы.
Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:
- Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
- Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
- Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
- Иные. Не вошедшие в эти категории.
Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.
Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.
Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.
Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.
Все упомянутые лица должны подписать обязательство о неразглашении данных.
Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.
Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.
Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:
- обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
- обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
- оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
- однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).
Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.
Административная ответственность
До 75 тысяч рублей штрафа работодатель может заплатить за:
- сбор и обработка избыточной информации;
- отсутствие согласия работника на обработку данных;
- доступ третьих лиц к персональным данным сотрудников;
- игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).
Уголовная ответственность
По статье 137 УК РФ:
- Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
- То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.
Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.
Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.
Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных.
Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора.
Почитать программу и записаться на курс можно по ссылке.
Источник: https://profkadrovik.ru/articles/work-with-documents/personalnye-dannye-rabotnika/
Что относится к персональным данным работника? Порядок защиты и хранения информации в организации
Кадровый документооборот любой организации включает в себя хранение персональных данных наемных работников. Чтобы этот процесс соответствовал всем нормам Трудового законодательства РФ, необходимо знать следующее.
Для решения вашей проблемы ПРЯМО СЕЙЧАС получите бесплатную ЮРИДИЧЕСКУЮ консультацию:
+7 (499) 938-51-93 Москва
Показать содержание
Понятие: что относится к личной информации сотрудника?
Исходя из п. 1 ст. 3 Закона № 152-ФЗ от 27 июля 2006 г., это любая прямая или косвенная информация о конкретном сотруднике, которая необходима администрации для осуществления трудовых отношений. К ней относится информация:
- об образовании;
- о специальности;
- о квалификации;
- о состоянии здоровья;
- о наличии детей;
- о доходах (в частности, для госслужащих).
Работодатель не имеет право требовать у потенциального сотрудника информацию о его вероисповедании, национальности и семейном положении. Также как и сотрудник имеет право ее не предоставлять.
По «Положению о персональных данных работника» каждый работодатель обязан регламентировать операции с персональными данными сотрудников, учитывая нормы, предписанные в статье 87 ТК РФ, а также п. 2 ст. 18.1 № 152-ФЗ.
Статья 87 ТК РФ. Хранение и использование персональных данных работников
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
Работодатель запрашивает информацию, чтобы осуществить следующие функции:
- выявление соответствия занимаемой должности;
- возможность предоставления различных компенсаций и льгот;
- оформление налогового вычета;
- заполнение личной карточки работника по унифицированной форме Т-2.
Вся информация должна быть предоставлена исключительно первым лицом, то есть самим наемным работником.
Кто разрабатывает документ?
Положение о персональных данных госслужащего РФ и ведении его дела утверждено Указом Президента РФ от 30.05.2005 № 609. Поэтому для государственных учреждений положения разрабатываются, исходя из нормативных правовых актов.
В частной фирме положение разрабатывается работодателем при участии любого представительного органа работников. Чаще всего эта роль закреплена за Профсоюзом. В этом случае оно утверждается с учетом его мнения (ст. 372 ТК РФ) следующим образом:
- На рассмотрение дается 5 рабочих дней. После чего, если решение Профсоюза содержит отказ на утверждение или там представлены доработки и предложения, работодатель обязан в течение 3 рабочих дней добиться взаимного согласия на подписание Положения.
- Если обоюдного решения достичь не удается, составляется Протокол разногласий и работодатель самостоятельно принимает решение об утверждении Положения, которое может быть обжаловано членами профсоюзной организации при обращении в суд или в государственную инспекцию труда.
Если Профсоюза нет, а есть иной представительный орган работников, то Положение должно согласовываться с ним.
Работодатель, у которого нет представительного органа, самостоятельно принимает решение о подписании Положения. В данном случае оно не должно противоречить установленному локальному нормативному акту фирмы и по возможности предварительно обговорено с юристом, начальником отдела кадров и главным бухгалтером.
Положение о защите персональных данных чаще всего включает 6 разделов, посвященных различным этапам обработки личной информации:
- общие положения;
- получение и систематизация личных данных;
- обработка и хранение этой информации;
- ее использование;
- осуществление передачи и распространения личных данных;
- гарантия конфиденциальности со стороны ответственных сотрудников.
Предложенную структуру можно менять, если есть такая необходимость: добавлять новые разделы и приложения, корректировать. Работодатель вправе самостоятельно определить структуру.
Политика и порядок обработки и хранения информации в организации
Работодатель обязан гарантировать соблюдение прав и свободы сотрудника, который предоставляет ему личную информацию. Даже в пределах одной организации личные данные можно передавать только в пределах локального акта организации (Положения), с которым должен быть ознакомлен весь персонал под подпись (п. 8 ст. 86 ТК РФ).
- Персональные данные на сотрудника хранятся в бухгалтерии и кадровой службе, вместе с ведомостью по его заработной плате, личными карточками, делами и другими документами — как в электронном, так и в бумажном виде.
- В случае утраты или неправомерного использования личной информации работодатель обязан за свой счет обеспечить ее защиту.
- Порядок обработки и хранения информации должен быть определен локальным нормативным актом и в нем же прописан (в Положении).
Обязательства о защите и неразглашении
Положение включает в себя обязательство о неразглашении персональных данных и подписывается сотрудниками, которые по своему служебному положению имеют доступ к личной информации. Ответственность за разглашение устанавливается этим же внутренним документом.
Число ответственных сотрудников может варьироваться. Это могут быть: генеральный директор, сотрудники отдела кадров, бухгалтерии и так далее (зависит от специфики организации).
Нарушение правил обращения предусмотрено в ст. 24 ФЗ № 152 и влечет за собой увольнение или штраф в размере:
- 1000-3000 р. для граждан;
- 5000-10 000 р. для должностных лиц;
- 30 000-50 000 р. для предприятий.
Как утверждается?
Каждая фирма несет статус оператора персональных данных и именно она обязана утвердить локальный правовой акт, которым в современной профессиональной практике чаще всего является Положение о персональных данных работников.
Для того чтобы его утвердить, работодателем (генеральным директором) составляется приказ. Он должен включать в себя вводную (1), основную (2) и заключительную (3) части:
- Наименование организации-работодателя; название, номер, дата приказа; город; основания вынесения приказа на рассмотрение.
- Факт утверждения положения по личным данным работников; дату введения положения в действие; должностные лица, ответственные за работу с личной информацией, а также степень полноты этого допуска.
- Ответственный за выполнение приказа и его обязательство довести до сотрудников пункты Положения о персональных данных и взять их согласие на обработку информации в письменной форме; подпись руководителя или ответственного; дата ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.
После утверждения оно сразу вступает в силу, затем должно быть доведено до всех работников под подпись. Действующими сотрудниками в реестре (журнале) ставится подпись об ознакомлении.
Если распоряжение касается большого числа сотрудников (одного или нескольких структурных подразделений), то составляется Лист ознакомления. Он служит документом-приложением к приказу.
Лист также необходим для того, чтобы в случае спорных ситуаций между руководством и подчиненными послужить своеобразным доказательством для решения вопросов в суде или с привлечением трудовой инспекции. За отказ в подписи руководитель имеет право привлечь работников к дисциплинарному взысканию вплоть до увольнения.
Когда нужно уведомлять Роскомнадзор о предстоящей обработке?
Операторы (ответственные) перед обработкой персональных данных обязаны проинформировать Роскомнадзор о предстоящей процедуре. Однако здесь есть ряд исключений, предусмотренных в ст. 1, 2, 22 Закона от 27 июля 2006 г. № 152-ФЗ.
Например, если обработка данных в организации ведется в соответствии с трудовым правом, то есть по заключению гражданско-правового договора с сотрудником и при этом соблюдается защита персональных данных, они не распространяются без согласия субъекта, а также используются исключительно в профессиональных целях, то уведомлять Роскомнадзор в данном случае нет необходимости.
Ответственность за отсутствие документа
Отсутствие данного Положения нарушает Трудовой Кодекс РФ, поэтому по решению государственной инспекции труда должностное лицо (генеральный директор или его ИО) может понести штраф от 1000 до 5000 р., а за повторное нарушение — от 10 000 до 20 000 р. и дисквалификацию от 1 до 3 лет с правом занимаемой должности и осуществления профессиональной деятельности (ст. 5.27 КоАП РФ).
Чтобы не допустить возможности разглашения личной информации своих работников каждая фирма должна обеспечить их защиту в полной мере. Чаще всего для этого используется локальный акт в виде Положения о защите персональных данных. Данное Положение имеет общепринятую структуру, но не ограничивается ею, поэтому руководитель организации вправе определить, сколько подразделов оно будет включать.
Факт ознакомления сотрудников с Положением фиксируется или в трудовом договоре или на отдельном документе-приложении — Листе ознакомления.
Источник: https://pravovoi.center/zpp/o-personalnyh-dannyh/polozhenie-o-zaschite.html