prestima.ru

Обеспечение соответствия персональные данные

Обеспечение соответствия персональные данные - картинка 1
Предлагаем ознакомиться со статьей на тему: "Обеспечение соответствия персональные данные". На странице собрана информация с авторитетных источников и сделаны выводы. На все сопуствующие вопросы вам ответит дежурный консультант.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Обеспечение соответствия персональные данные - картинка 2

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Обеспечение соответствия персональные данные - картинка 3

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Практическое руководство по выполнению требований 152-ФЗ

Обеспечение соответствия персональные данные - картинка 4

Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Документы по персональным данным необходимые в 2020 году

Обеспечение соответствия персональные данные - картинка 6

Обеспечение соответствия персональные данные - картинка 7

Как еще может называться данный документ:

  • Политика обработки персональных данных
  • Политика в отношении обработки данных
  • Privacy policy

Зачем нужен документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Зачем нужен документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

  • Правила обработки персональных данных

Зачем нужен документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Зачем нужен документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

Зачем нужен документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Зачем нужен документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Как привести СЭД в соответствие с требованиями 152-ФЗ?

В конце прошлого года срок вступления в силу требований закона о защите персональных данных перенесли на год. Операторы персональных данных, которые не были готовы привести информационные системы персональных данных (ИСПДн) в соответствие с требованиями закона, перестали было волноваться. Однако теперь, когда осталось полгода до окончания отсрочки, рассчитывать еще на одну не приходится. И снова организации, работающие с персональными данными, озабочены: соответствуют ли их информационные системы требованиям закона? Рассмотрим этот вопрос в аспекте систем электронного документооборота (СЭД), хотя многие положения будут применимы и к другим видам информационных систем.

СЭД и проблема обеспечения защиты персональных данных

Во-первых, зададимся вопросом: имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных? В законе есть определение: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Любая СЭД, которая имеет в своем составе справочники сотрудников предприятия и контрагентов, содержит и персональные данные.

Классификация ИСПДн, 2010 Обеспечение соответствия персональные данные - картинка 10
Увеличить

Источник: DocsVision, «Сертифицированные информационные системы», 2010

Ситуация усугубляется, если предприятие ориентировано на работу с физическими лицами, и СЭД вовлечена в сферу их обслуживания. Это в первую очередь органы государственной власти (особенно тех уровней, где ведется непосредственная работа с населением), организации, работающие с обращениями граждан, медицинские и образовательные учреждения, сфера обслуживания, телекоммуникационные компании, кредитные организации, а также многие другие. Кроме структурированных справочников, являющихся вспомогательным элементом, в СЭД хранятся и обрабатываются документы, что является ее основным назначением. В документах тоже может содержаться информация, относящаяся к категории персональных данных: анкеты, характеристики, персональные дела, истории болезней и т.д. То есть следует признать, что СЭД, как правило, имеет непосредственное отношение к проблеме обеспечения защиты персональных данных.

Что должно соответствовать требованиям 152-ФЗ?

Сегодня мало кто разрабатывает собственную СЭД «с нуля». На рынке представлено достаточно много тиражируемых программных продуктов этого класса, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия.

Сейчас заказчики часто спрашивают у производителей, удовлетворяет ли их СЭД требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона. Однако следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».

Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Таким образом, ИСПДн (в данном случае, СЭД) заказчика – это нечто гораздо большее, чем программный продукт, используемый в ее составе.

Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн – это автоматизированная система, а СЭД как программный продукт – это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.

Этапы работ по приведению СЭД (ИСПДн) в соответствие с требованиями 152-ФЗ

Итак, мы разобрались, что предприятие-пользователь СЭД (ИСПДн) должно начать с себя, для того чтобы соответствовать требованиям закона. Мы в данном случае говорим «СЭД», подразумевая, что она может являться одной из ИСПДн предприятия, или ее частью. Однако, персональные данные могут обрабатываться и в других автоматизированных системах, и тогда все сказанное здесь применимо и к ним.

Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ: обследование предприятия на предмет работы с персональными данными; классификацию ИСПДн; разработку модели угроз нарушения безопасности данных; формирование требований по обеспечению безопасности ПДн; проектирование системы защиты данных; внедрение системы защиты данных; аттестацию или декларирование соответствия ИСПДн.

Проблемы, с которыми сталкиваются предприятия при обработке персональных данных

Обеспечение соответствия персональные данные - картинка 12Масштабность

Обработка персональных данных представляет собой любые действия, включая сбор, хранение, использование, передачу, запись и уничтожение данных. Причем обработка осуществляется не только в отделе кадров, как ошибочно думает большинство руководителей компании. Обработка также осуществляется:

  • при ведении документооборота
  • использовании электронной почты
  • ведении воинского учета
  • осуществлении охраны труда
  • проведении медицинского осмотра
  • ведении тендерной документации и т.д.

Обеспечение соответствия персональные данные - картинка 12 Нехватка ресурсов

  • На предприятиях, как правило, отсутствуют специалисты, обладающие достаточной компетенцией для решения задач по защите персональных данных в соответствии с требованиями законодательства РФ.
  • Высокая загруженность ответственного за обработку персональных данных в силу совмещения должностных обязанностей. Вследствие этого невозможность проводить регулярные мероприятия по защите и контролировать состояние защищенности.

Обеспечение соответствия персональные данные - картинка 12 Незнание специфической информации

Из-за отсутствия наработанной практики и знания «тонких» моментов по защите персональных данных, таких как сертификация средств защиты, специальные категории ПДн и пр., возникает вероятность выявления несоответствий регуляторами (Роскомнадзор, ФСТЭК, ФСБ). Это может привести к затратам большого количества ресурсов, а также к штрафным санкциям со стороны регуляторов.

Обеспечение соответствия персональные данные - картинка 12 Необходимость соответствия часто меняющемуся законодательству

Одной из основных особенностей построения эффективной системы защиты персональных данных является необходимость постоянного соответствия часто меняющемуся законодательству. Так, например, ФСТЭК России ввел 7 дополнительных составов административных правонарушений (ФЗ от 07.02.2017 №13-ФЗ, ст.13.11). Данный законодательный акт указывает, что:

  • Процедура наказания упрощена составлением протокола Роскомнадзором прямо на месте.
  • Повысилось количество оснований привлечь Оператора к ответственности.
  • Возросли штрафные санкции, расчёт ведется по количеству нарушений и численности субъектов ПДн. Штрафы на каждого человека достигают 75 000 руб. Нетрудно подсчитать, что при численности 50-100 человек эта сумма может достигать 3 750 000-7 500 000 руб. и выше.

Компания «Газинформсервис» реализует ряд услуг, которые помогут компаниям в решении широкого спектра задач в области GDPR

Пять шагов на пути к успешному выполнению требований регламента GDPR:

Обеспечение соответствия персональные данные - картинка 16Проведение GAP-анализа (анализа разрывов) соблюдения требований GDPR.

Обеспечение соответствия персональные данные - картинка 16Изучение правовых аспектов текущего уровня соответствия требованиям GDRP:

  • наличие и содержание согласий (на предмет понятности, информированности, добровольности, простоты отзыва, учёта)
  • обработка запросов субъектов (право на забвение, возражения против обработки ПДн, блокировка ПДн, корректировка данных)
  • соответствие локальных нормативных актов
  • готовность организации к соблюдению требований

Обеспечение соответствия персональные данные - картинка 16Аудит технической готовности информационных систем к выполнению требований:

  • выражение согласий на обработку cookie-файлов при предоставлении web-доступа к сервисам
  • механизмы выражения согласий на обработку ПДн при предоставлении web-доступа к сервисам
  • наличие в используемых системах технических возможностей уничтожения, блокирования данных и т.п.

Обеспечение соответствия персональные данные - картинка 16Оказание консультаций и помощи, например, в тех случаях, если Россия будет включена в список стран, не обеспечивающих адекватную защиту ПДн ((103), (114), article 45).

Обеспечение соответствия персональные данные - картинка 16Консультирование и подготовка ответственного за обеспечение безопасности данных (data protection officer, articles 37-39) и представителя контролёра (Representatives of controllers or processors, article 27).

Выполнение требований Федерального закон РФ № 152-ФЗ «О персональных данных»

ООО «Газинформсервис» предлагает комплексное решение защиты персональных данных, которое включает проектирование системы защиты ПДн (СЗПДн), комплекс организационных и (или) технических мер по внедрению системы, сопровождение и доработку.

Система защиты персональных данных в каждом конкретном случае учитывает специфику процессов организации, и в любом случае позволяет защищать рабочие станции от актуальных угроз безопасности. Специалисты «Газинформсервис» при внедрении системы защиты ПДн видят свою задачу не только в реализации требований регуляторов, но и в создании полноценной системы обеспечения безопасности.

Выполнение требований регламента GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Цели защиты персональных данных (ПДн)

  • Защита законных прав сотрудников, руководителей и клиентов предприятия в соответствии с законодательством Российской Федерации. Если в компании защита персональных данных не соответствует законодательству РФ, существует высокая вероятность жалоб бывших сотрудников и клиентов в Роскомнадзор!
  • Обеспечение соответствия требованиям законодательства РФ в области защиты персональных данных. Роскомнадзор осуществляет как плановые, так и внеплановые проверки. В случае выявления нарушений предприятию выписываются штрафные санкции.
  • Защита клиентской базы. Утечка персональных данных клиентов может повлечь убытки компании.

Защита персональных данных в соответствии с требованиями GDPR и 152-ФЗ

25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Федеральный закон РФ № 152-ФЗ

В соответствии с Федеральным законом «О персональных данных» Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных. Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, потери ценной информации, привлечения организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановления действия или аннулирования лицензий на основной вид деятельности организации, репутационных рисков.

Этапы создания системы по защите персональных данных

  • Изучение процессов обработки персональных данных.
  • Разработка документации.
  • Техническое проектирование и разработка рабочей документации.
  • Ввод в действие.
  • Сопровождение.

Обеспечение соответствия персональные данные - картинка 21

Выгоды построения системы защиты персональных данных

Обеспечение соответствия персональные данные - картинка 16Репутация. Благодаря внедрению мероприятий по защите персональных данных компания получает репутацию надежного партнера в глазах клиентов, сотрудников, контрагентов.

Обеспечение соответствия персональные данные - картинка 16Защита клиентской базы. Клиентская база нарабатывается годами, а ее потеря может произойти за считанные минуты, что грозит большими убытками компании. Построение системы защиты является просто необходимым условием сохранения главного актива предприятия.

Обеспечение соответствия персональные данные - картинка 16Выполнение требований регуляторов.

Обеспечение соответствия персональные данные - картинка 16Отсутствие жалоб субъектов и штрафных санкций.

Почему нам доверяют?

Обеспечение соответствия персональные данные - картинка 26

Обеспечение соответствия персональные данные - картинка 27

Обеспечение соответствия персональные данные - картинка 28

Обеспечение соответствия персональные данные - картинка 29

Обеспечение соответствия персональные данные - картинка 30

Есть вопросы? Обратитесь к нашим специалистам

Персональные данные работников: 5 основных правил по организации, обработке и хранению персональной информации

Что такое персональные данные в организации?

Каждая организация обрабатывает огромный массив информации. Не исключение — сведения о физических лицах. За нарушение законодательства о персональных данных организацию могут оштрафовать, подать в суд и причинить иные неприятности.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ (далее 152-ФЗ) исчерпывающего перечня персональных данных не содержит. Компаниям необходимо исходить из того, что это любые сведения, позволяющие опознать физическое лицо. В разъяснениях федеральных органов встречаются различные трактовки определения ПДн. Так, Министерство экономического развития в своем письме от 02.10.2015 N ОГ-Д28-12951 считает, что к персональным данным работника, помимо личных:

  • фамилии,
  • имени,
  • отчества,
  • даты и места рождения,
  • адреса,
  • семейного положения,

относятся сведения об:

  • образовании,
  • профессии,
  • занимаемой должности,
  • стаже работы.

Роскомнадзор в своем письме от 07.02.2014 N 08КМ-3681 указывает, что персональными данными являются сведения о заработной плате.

Сведения, обрабатываемые организацией разделяются на две основные группы:

  • персональные данные работников организации;
  • персональные данные, попадающие в организацию в связи с ее деятельностью, например, персональные данные клиентов, контрагентов, посетителей сайта организации.

Согласно закону 152-ФЗ: организация, обрабатывающая такие данные самостоятельно или совместно с другими лицами, является — оператором персональных данных. Оператор и иные лица, получившие доступ к ПДн должны обеспечить конфиденциальность данных:

не допустить раскрытия информации и распространения без согласия физического лица — субъекта персональных данных.

Жизненный цикл обработки персональных данных сотрудников в организации

По общему правилу персональные данные обрабатываются с согласия физического лица. (п. 1 ч. 1 ст. 6 152-ФЗ). С момента поступления в организацию каких-либо сведений о физическом лице организация должна предпринять необходимые меры для сохранности и правомерной обработки таких сведений. Согласие на обработку ПДн должно быть конкретным и информированным. Не забывайте прописать в документе:

  • цели обработки ПДн,
  • способы обработки с указанием действий, совершаемых с ПДн,
  • объем обрабатываемых ПДн.

Давая согласие субъект персональных данных обозначает объем и границы обработки сведений для каждого конкретного случая их обработки, а работодатель обязует обрабатывать полученные данные только для целей и в объеме на которые оно получено.

Обязательная письменная форма согласия предусматривается только в случаях, указанных в федеральных законах, например, при обработке специальных категорий персональных данных (ст. 10 закона 152-ФЗ):

  • расовая принадлежность,
  • политические и религиозные взгляды,
  • состояние здоровья.

Если законом не предусмотрена письменная форма согласия, подойдет любая иная форма

  • устная,
  • включение соответствующего пункта в договор и т.д.

Единственное правило: перед началом обработки убедитесь, что для всех категорий обрабатываемых данных получено необходимое согласие работника.

При трудоустройстве, физическое лицо передает работодателю определенный набор документов, содержащих персональные сведения. Исчерпывающего перечня законодательство не содержит, но наиболее стандартный список указан в форме T2 — «личной карточке работника».

Обработка ПДн работника осуществляется в целях:

  • обеспечения соблюдения законов и иных нормативных правовых актов,
  • содействия работникам в трудоустройстве,
  • получении образования,
  • продвижении по службе,
  • обеспечения личной безопасности работников,
  • контроля количества и качества выполняемой работы,
  • обеспечения сохранности имущества.

Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Все документы, регламентирующие обработку персональных данных сотрудников, размещаются для ознакомления работниками в открытом доступе. Из приведенных норм можно вывести следующее правило — разработайте и примите локальный нормативный акт, регулирующий сбор, обработку и хранения персональных данных, а также ознакомьте с ним под роспись всех работников.

Работник вправе отозвать согласие об обработке персональных данных, в соответствии с частью 2 статьи 9 закона 152-ФЗ». Может ли в данном случае он продолжить работать на этого работодателя? Согласно этой же части, оператор вправе продолжить обработку персональных данных без согласия субъекта, при наличии оснований, предусмотренных федеральным законом, в том числе и для исполнения договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 152-ФЗ). Таким договором может быть трудовой договор и работодатель вправе продолжить обрабатывать персональные данные работника, без его согласия в целях и объеме необходимых для исполнения указанного договора.

В силу ст. 88 ТК РФ доступ к персональным данным работников должны иметь только специально уполномоченные лица. При этом указанные лица вправе получать только те сведения, которые необходимы для выполнения конкретных функций. Помимо этого, лица, получающие персональные сведения работника, обязаны соблюдать режим конфиденциальности. Ответственные сотрудники должны быть назначены приказом, а документы, определяющие политику в области обработки персональных данных должны быть доступны для всех сотрудников организации. Например, работодатель планирует установить в офисе видеонаблюдение, для этого работодателю необходимо принять акт, регламентирующий порядок видеонаблюдения и назначить ответственных за сбор таких данных. Важно, чтобы ответственные работники были ознакомлены с правилами обработки и хранения персональных данных, принятыми в организации, а также о режиме конфиденциальности, в отношении персональных данных работников. Создание в организации эффективной политики в области сбора, обработки и хранения персональных данных поможет избежать множества негативных последствий для организации.
У вас есть вопросы по разработке ОРД — пишите в комментариях. Мы с радостью на них ответим.

Особенности обработки и защиты персональных данных соискателей и уволенных сотрудников

Помимо персональных данных своих сотрудников в организацию, как правило, попадают множество персональных данных других лиц, например, соискателей. Обработка ПДн соискателя должна осуществляться с его согласия. Из общего правила есть несколько исключений:

  • Интересы потенциальных кандидатов на вакансию представляет кадровое агентство;
  • Кандидат на вакансию разместил свое резюме в открытом доступе.

Если соискатель направляет свое резюме по электронной почте или факсу работодателю рекомендуется установить факт направления резюме соискателем лично. Получать согласие необходимо

  • в случае направления запросов по прежним местам работы,
  • для уточнения или получения дополнительной информации о соискателе.

Если по какой-либо причине соискатель не трудоустраивается, все предоставленные им сведения должны быть уничтожены в течение тридцати дней.

Обработка персональных данных уволенных сотрудников возможна только в определенных законом случаях:

  • документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение 4-х лет;
  • базы данных отпусков хранятся пять лет;
  • приказы о дисциплинарных взысканиях три года;
  • трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;

Как и в случае с претендентами на вакансию, так и с действующими и уволенными работниками важно обрабатывать персональные данные только в том объеме, в каком это необходимо для целей обработки.

Согласие на передачу персональных данных работника третьим лицам

По общему правилу работодатель не вправе сообщать персональные сведения о работнике третьим лицам, без его согласия. Исключениями являются случаи, предусмотренные трудовым законодательством и иными законодательными актами.

  • передача персональных данных в ПФР или ФСС России (абз. 15 ч. 2 ст. 22 ТК РФ);
  • налоговые органы (ст. 24 НК РФ);
  • при получении мотивированного запроса судебного пристава (ст. 64 ФЗ «Об исполнительном производстве»);
  • заключении договора с провайдером (ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ «О связи»).

Все случаи передачи персональных данных физического лица без его согласия это как правило императивные предписания законодательных актов. Если нормы, предписывающей обязанность передать какие-либо сведения, содержащие персональные данные, нет, то согласие физического лица на передачу его данных придется получить.

Помимо императивных предписаний о раскрытии сведений, содержащих персональные данные, согласие может не требоваться, когда сведения передаются в целях предупреждения угрозы жизни и здоровью работника. Например, работник не появился на рабочем месте и его местонахождение не известно. Работодатель может направить запрос в медицинские организации и органы внутренних дел с указанием информации о работнике и это не будет нарушением правил хранения персональных данных.

При заключении договора зарплатного проекта с кредитной организацией или на выпуск платежных карт для сотрудников работодатель не вправе передавать кредитной организации персональные данные работников. Работник сам даст согласие банку, либо банк включит пункт об обработке персональных данных в договор, подписываемый сотрудником. Аналогично работодатель должен получить согласие всех работников, если в организации кадровый или бухгалтерский учет поручен сторонней организации. Исходя из правил, предусмотренных трудовым законодательством, а также корреспондирующими с ним положениями закона 152-ФЗ работодателю необходимо спрашивать согласие у работника для каждого конкретного случая передачи персональных данных.

Ответственность за нарушения обработки персональных данных в организации

За нарушение требований обработки персональных данных предусмотрены следующие виды ответственности:

  • Дисциплинарная
  • Материальная
  • Административная
  • Уголовная

За нарушение правил обработки персональных данных организацию или должностное лицо могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Составлять протоколы об административном правонарушении уполномочены должностные лица Роскомнадзора, а привлекать к ответственности судьи мировых судов. Срок давности за совершение данного правонарушения составляет три месяца. Должностное лицо, ответственное за обработку персональных данных может быть привлечено к административной ответственности, за не размещение в открытом доступе документа, определяющего политику в отношении персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. (Постановление Тюменского областного суда от 14.11.2017 N 4А-598/2017).

Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена по следующим статьям Уголовного кодекса:

  • Нарушение неприкосновенности частной жизни;
  • Отказ в предоставлении гражданину информации;
  • Неправомерный доступ к компьютерной информации.

Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.

Как правило, дело об административном правонарушении возбуждается после проведения уполномоченным органом проверок организации. Инспекторы надзорного органа могут оштрафовать организацию за отсутствие у нее документов, регламентирующих политику в области обработки персональных данных, а также несоответствие таких документов законодательству, осуществление обработки или передачи данных третьим без согласия на то физических лиц субъектов персональных данных.

Если у вас остались вопросы, появились предложения, замечания, наблюдения — не раздумывая, пишите нам в комментариях. Мы с удовольствием решим эту задачу 🙂

Добавить комментарий

Мы в соцсетях

Подписывайтесь на наши группы в социальных сетях