Статья 8. Общедоступные источники персональных данных

Кадровое делопроизводство

Что это общедоступные персональные данные? Вообще, под общедоступной информацией понимаются сведения и иная информация, доступ к которой не ограничен. Иными словами, любые лица могут ее использовать по своему усмотрению, соблюдая установленные законом ограничения на ее распространение (п. 1, 2 ст. 7 Федерального закона от 27.07.2006 № 149-ФЗ). Итак, общедоступные персональные данные: что к ним относится? Расскажем в материале.

Общие сведения

Все компании (организации и индивидуальные предприниматели) имеют дело с персданными. Они содержатся в личных карточках и личных делах работников. В большинстве случаев информацию получают непосредственно у сотрудника.

Однако в некоторых случаях сведения о работнике можно получить от третьих лиц. В такой ситуации нужно уведомить сотрудника и получить от него согласие, оформленное в письменной форме. В уведомлении должны быть указаны цели, способы и источники получения информации, а также характер получаемых сведений (п. 3 ч. 1 ст. 86 ТК РФ).

Одним из видов информации являются общедоступные персональные данные, получаемые из общедоступных источников. Под ними следует понимать такие сведения, которые субъект персональных данных или, говоря понятным языком, работник, сам сделал общедоступными. Данная информация о работнике – это сведения доступные неограниченному кругу лиц.

Полученные персданные работодатель должен хранить их, не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

В качестве примера общедоступных персональных данных можно привести информацию из открытых справочников, адресных книг, социальных сетей и т.д. Так как подобные сведения носят публичный характер, то в специальной охране они не нуждаются.

Читайте также:  Форма Т-3 (штатное расписание): порядок заполнения и образец

Информацию, не относящуюся непосредственно к трудовой деятельности работника, компания собирать не может. Перечень общедоступных персональных данных этой категории: информация о исповедуемой религии, политических взглядах и т.д. Такие сведения относятся к личной или семейной тайне человека, которую он раскрывать не обязан (п. 4 ч. 1 ст. 86 ТК РФ, ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ).

Получив, храним

Итак, есть открытые персональные данные. Это информация, находящаяся в открытом доступе. Однако есть сведения, подлежащие хранению. Организация, получившая в свое распоряжение персональные сведения работников, не может их распространять и раскрывать третьим лицам без согласия самого сотрудника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

Порядок работы с персональными данными, а именно, правила хранения, обработки и использования полученных сведений работодатель устанавливает самостоятельно. Разработанный алгоритм прописывается в специальном Положении о работе с персональными данными работников. С утвержденным документом следует ознакомить сотрудников под подпись.

Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».

Если требование законодательства о разработке и утверждении этого документа проигнорировать, организацию (индивидуального предпринимателя) могут оштрафовать по статье 5.27 КоАП РФ. Правомерность такого подхода подтверждают судьи (см., например, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Понравилась статья? Поделитесь ссылкой с друзьями:

Комментарии

Блог для кадровика: трудовое законодательство, образцы кадровых документов, оформление и прекращение трудовых отношений, выплаты в пользу работников и многие другие кадровые вопросы рассматриваются этом сайте. Наш сайт будет полезен кадровым работникам небольших организаций и индивидуальным предпринимателям. На сайте представлен бесплатный профессиональный контент. При этом мы стараемся минимизировать количество рекламы, чтобы она не отвлекала от прочтения статей.

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Попробовали разобраться, как это сделать правильно и в рамках действующего законодательства.

Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это все сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать права субъектов ПДн.

Что относится к персональным данным, а что нет

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Телефон, email, фотография, ФИО — все это может считаться ПДн.

Также к ПДн можно отнести:

• национальность;
• политические, философские и религиозные взгляды;
• место регистрации;
• информацию о здоровье, отпечатки пальцев и образцы голоса;
• информация о судимостях;
• номер телефона и электронная почта;
• СНИЛС, ИНН и паспортные данные;
• ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотографии человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на обработку которых требуется письменное согласие. К примеру, фото в скане паспорта в личном деле сотрудника. Такая фотография не будет являться биометрией, поскольку не используется для идентификации.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Общий регламент по защите данных (GDPR). GDPR похож на 152-ФЗ, но есть и некоторые различия. Для начала взглянем на типы ПДн.

Типы персональных данных

152-ФЗ делит ПДн на 4 категории:

• общедоступные;
• специальные;
• биометрические;
• иные.

Общедоступные

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются (за исключением случаев, когда пользователь дал согласие сделать их общедоступными).

Специальные

Определенные ПДн входят в категорию специальных, а именно информация о:

• расе, национальности и религии;
• политических и философских взглядах;
• здоровье;
• подробностях личной жизни;
• судимостях.

Биометрические

Это информация о физиологических и биологических особенностях человека:

• отпечатки пальцев;
• генетическая информация;
• рисунок радужной оболочки глаз;
• образцы голоса;
• фотографии, если они используются для идентификации.

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Иные

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

• фамилия, имя, отчество;
• паспортные данные;
• электронная почта или геолокация;
• информация о принадлежности к определенной социальной группе;
• стаж работы.

Субъекты и операторы

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные обрабатывает оператор ПДн.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта ПДн), а магазин таким образом становится оператором.

Оператор — это физическое лицо или организация (государственная или частная), которая организует обработку и обрабатывает ПДн, а также определяет цели обработки, состав данных и совершаемые с ними действия.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Как оператору работать с персональными данными

Рассмотрим, как оператору обрабатывать и защищать ПДн.

Сбор

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 9 статье 152-ФЗ сказано, что обрабатывать персональные данные можно только с согласия пользователей (кроме исключений, указанных в статье 6). В интернете согласие получают с помощью конклюдентного действия, а письменную форму согласия заменяют на электронную с помощью усиленной квалифицированной ЭП.

Согласие – документ, где указаны конкретные категории ПДн и конкретные цели обработки, для которых осуществляется сбор. Общий подход компании к обработке всех ПДн для всех целей регламентируется документом «Политика конфиденциальности». В электронном виде под каждой формой необходимо добавить чекбокс с текстом: «Даю согласие на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора Cookies в рамках соблюдения GDPR тоже понадобится разрешение.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает Cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом.

Исключения. Согласие на обработку ПДн нужно не всегда. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 152-ФЗ, но если кратко, то согласие не обязательно для обработки общедоступных данных, обезличенной статистики и СМИ (при условии соблюдения прав субъекта). При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта на передачу, а также обязательно нужно удостовериться, что инфраструктура соответствует 152-ФЗ по требуемому уровню защищенности и заключить поручение на обработку. Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware и Облачные серверы в Selectel соответствуют требованиям по 3 уровню защищенности ПДн.

Обработка

Все, что происходит с ПДн — это обработка:

• передача;
• запись;
• хранение;
• извлечение;
• изменение;
• обезличивание;
• анализ;
• удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

• Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, программы, скрипты.
• Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
• Неавтоматизированная — без автоматизации, на бумажных носителях.

Условия. Обработка ПДн должна проходить с согласия субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Хранение

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К обработке ПДн много требований со стороны 152-ФЗ.

• Данных нужно хранить столько, сколько достаточно для выполнения целей обработки.
• Информация должна храниться так, чтобы можно было определить субъекта, не дольше, чем того требуют цели обработки.
• Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
• Если есть базы данных с разными ПДн, собранными для разных целей, их нельзя объединять.
• После обработки ПДн должны быть уничтожены или обезличены.
• Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие (если страна не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн).

Субъект может в любой момент запросить у оператора (в письменном или электронном виде с помощью усиленной квалифицированной ЭП) какие данные на него есть, цели обработки и состав данных. А если информация неточная или старая — может потребовать ее обновить.

Защита

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому информационные системы персональных данных (ИСПДн) должны быть хорошо защищены. Критерий «хорошо» означает в соответствии с уровнем защищенности обрабатываемых данных (УЗ). Уровни защищенности определены в постановлении Правительства 1119 и связаны с категорией ПДн.

Каждый оператор обязан самостоятельно определить уровень защищенности ПДн и настроить IT-инфраструктуру, в соответствии с требованиями. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Примечание. Если храните данные в ЦОД, то инфраструктура должна соответствовать требованиям приказа ФСТЭК. Соответствие подтверждается оценкой эффективности принимаемых мер по обеспечению безопасности ПДн. Аттестованный сегмент ЦОД Selectel соответствует требованиям по 1 уровню защищенности ПДн и 1 классу защиты государственных информационных систем.

Операторы обязаны (кроме случаев, указанных в части 2 статьи 22 152-ФЗ) подать уведомление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Документы

Подготовить оборудование, ПО и инженерные системы недостаточно. Для обработки ПДн нужно еще много документов:

• Политика в отношении обработки персональных данных. Общедоступный документ, отражающий политику компании в части обработки ПДн.
• Модель угроз безопасности информации. В документе описываются актуальные для информационной системы персональных данных угрозы.
• Приказ о назначении ответственного за обеспечение безопасности персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за обеспечение безопасности ПДн.
• Приказ о назначении ответственного за организацию обработки персональных данных – обычно назначают сотрудника юридического отдела, который отвечает за правильную организацию процесса обработки ПДн и соблюдение прав субъектов.
• Акт оценки вреда субъектам ПДн. Документ, в котором производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований 152-ФЗ.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Ответственность

Роскомнадзор проверяет компании — собирают ли они ПДн и зарегистрировались ли как оператор, если это необходимо. За нарушения штрафует, согласно статье 13.11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или не обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных в базах данных, находящихся на территории России.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Политики в отношении обработки персональных данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Инфраструктура, соответствующая требованиям, помогает оператору не беспокоиться о требованиях регулятора в зоне ответственности провайдераа. Но вся ответственность перед субъектом лежит на операторе.

Краткий чек-лист для обработки ПДн

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

При обработке ПДн, нужно соблюдать требования 152-ФЗ:

• Зарегистрироваться в Роскомнадзоре, как оператор (кроме исключений, перечисленных в части 2 статьи 22)
• Получать согласие у субъекта и не собирать лишние данные.
• Отвечать на обращения субъектов и предоставлять всю информацию.
• Собирать и хранить информацию только для достижения определенных целей в определенный срок.
• Защищать ПДн по закону.
• Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Светлышева Ольга Юрьевна, преподаватель Центра по направлению Управление персоналом и кадровому делу

Вокруг персональных данных много мифов и домыслов. На практике часто встречаются крайности: работодатели либо необоснованно засекречивают всю информацию о работнике, либо вообще не обращают внимания на защиту их персональных данных.

Давайте разберемся с правилами работы с персональными данными (ПД).

Правило 1. Работать с ПД в рамках закона

Для начала следует разобраться с терминологией и понять, кто является «субъектом ПД» и «оператором ПД».

Переведем эти понятия на язык трудового законодательства:

Субъект ПД — кандидат / стажер / работник / бывший работник, тот, чьи ПД обрабатываются.

Оператор ПД — работодатель, тот, кто обрабатывает ПД.

На сегодняшний день в России несколько нормативных актов регламентируют работу с ПД (Таблица 1).

Правило 2. Понимать, какие сведения относятся к ПД

Мы живем в информационном мире, и всю информацию можно разделить на два вида:

• Общедоступная — сведения и иная информация,доступ к которой не ограничен.
• Информация ограниченного доступа, к которой относятся государственная тайна и конфиденциальная информация, включающая более 40 видов тайн: служебную, коммерческую и др., в том числе персональные данные.

Являются ли Ф.И.О. персональными данными? В каких-то случаях да, в других – нет.

Какие сведения относятся к «персональным данным»?

Любая информация, которая прямо или косвенно относится к физическому лицу.

Таким образом, просто Ф.И.О. не являются ПД, пока нельзя определить, кому они принадлежат. Для того чтобы Ф.И.О. «Иванов Иван Иванович» отнести к персональным данным, требуется наличие конкретного лица, которое можно по этим данным идентифицировать.

Например, Иванов Иван Иванович — генеральный директор ООО «Компания». Здесь мы понимаем, о каком конкретно человеке идет речь, и в данном случае Ф.И.О. относятся к ПД.

Правило 3. Различать категории ПД

Законодательство выделяет четыре категории ПД:

1. Общие или общедоступные — известны другим людям и могут быть опубликованы в общедоступных источниках. Это базовые личные данные: Ф.И.О, место жительства / регистрации, сведения об образовании / квалификации, информация о месте работы, номер телефона, e-mail и др.
2. Специальные — это информация о личности человека. Они отличаются от других категорий тем, что, как правило, находятся в закрытом доступе. Их можно получить только у самого человека или по официальному запросу в поликлинику, правоохранительные органы, суд и т. д. Например, расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности личной жизни, информация о судимостях и др.
3. Биометрические — это физиологические или биологические особенности человека, которые используют для установления его личности. К этой категории относятся фотографии, дактилоскопические данные, радужная оболочка глаз, группа крови, генетическая информация и т. п.
4. Иные — это дополнительная информация, которая часто может меняться, и эти данные нельзя отнести к категориям общедоступных, специальных или биометрических данных. Например, корпоративные данные, информация, которая находится в организации: заработная плата, разные виды стажа, периоды отпусков и пр.

Правило 4. Уметь обрабатывать ПД

К обработке ПД относится любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с ПД, например сбор, систематизация, хранение, использование, передача, уничтожение и др.

Обработка любых категорий ПД допускается с письменного согласия работника.

Обработка общих ПД осуществляется, если:

• обработка необходима для достижения целей, предусмотренных законом (например, ст. 24 НК РФ), для осуществления и выполнения возложенных законодательством РФ на работодателя функций, полномочий и обязанностей. Например, передача ПД при перечислении налогов в бюджетную систему РФ, поскольку работодатель является налоговым агентом;
• обработка необходима для исполнения трудового договора, стороной которого является работник. Например, передача информации в налоговую инспекцию;
• работник предоставил доступ к ПД (либо по его просьбе) для неограниченного круга лиц. Например, работник попросил сделать рассылку о размещении информации о его юбилее.

Обработка специальных категорий ПД происходит в случаях, если:

• ПД сделал общедоступными сам работник;
• обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
• обработка происходит в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка биометрических ПД осуществляется без согласия работника:

• если фото и записи сделаны на массовых и публичных мероприятиях;
• в связи с реализацией международных договоров РФ о реадмиссии — согласии государства на прием обратно на свою территорию граждан, которые подлежат депортации из другого государства;
• в случаях, предусмотренных законодательством РФ об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, оперативно-разыскной деятельности, государственной службе, уголовно-исполнительным законодательством РФ;
• в случаях, предусмотренных законодательством РФ о порядке выезда из РФ и въезда в РФ, о гражданстве РФ. Например, работника отправляют в служебную командировку за пределы РФ.

Вместе с тем следует помнить, что при размещении видеокамер нужно учитывать требования законодательства, поскольку скрытое слежение за работником является противоправным.

В разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» указано, что требуется разработка и принятие локального акта, в котором необходимо определить цели установки видеокамер. Также в организации должны быть установлены таблички «Внимание! Ведется видеонаблюдение». Каждого работника следует уведомить об установке камер слежения лично под подпись и в обязательном порядке с работников надо взять письменное согласие на видеозапись на рабочем месте.

Как обрабатываются персональные данные

ПД могут обрабатываться разными способами:

• без использования средств автоматизации / неавтоматизированная обработка, если такие действия осуществляются при непосредственном участии человека;
• с использованием средств автоматизации, при обработке ПД в информационных системах.

Работодатель должен обеспечить определенную степень защиты ПД в зависимости от категории данных (Таблица 2):

Для использования ПД в автоматизированных системах работодатель должен иметь защищенную IT-инфраструктуру и отслеживать, чтобы ПД всегда были доступны, исключить их потерю и передачу ПД третьим лицам.

Правило 5. Грамотно оформлять документы по работе с ПД

В ряде случаев, например при размещении ПД работника на сайте организации, для обработки разных категорий ПД требуется письменное согласие работника, которое должно включать в себя:

• Ф.И.О. работника, адрес, сведения о документе, удостоверяющем его личность;
• наименование (Ф.И.О.) и адрес работодателя, получающего согласие работника на обработку ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых дается согласие работника;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых работодателем способов обработки ПД;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• подпись работника.

В организации должно быть утверждено Положение о защите ПД работников.

Оно регламентирует порядок получения, хранения, использования и защиты ПД, закрепляет права и обязанности работодателя и работников, а также определяет ответственность сторон трудового договора.

Правило 6. Знать права работника и обязанности работодателя при работе с ПД

Работодатели, работники и их представители должны совместно вырабатывать меры защиты ПД работников, работники не должны отказываться от своих прав на сохранение и защиту тайны.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

• на полную информацию об их ПД и обработке этих данных;
• свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты ПД;
• доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
• требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства (при отказе работодателя исключить или исправить ПД работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия);
• дополнение заявлением, выражающим собственную точку зрения работника на ПД оценочного характера;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• ознакомление под подпись с документами работодателя, устанавливающими порядок обработки ПД, а также об их правах и обязанностях в этой области.

Обязанности работодателя

• Все ПД работника следует получать у него самого. Если ПД работника возможно получить только у третьей стороны, то у работника нужно взять письменное согласие. При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.
• Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям ПД, за исключением случаев, предусмотренных законодательством, например при назначении пособия по временной нетрудоспособности.
• Работодатель не имеет права получать и обрабатывать ПД работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством. Например, если работник исполняет государственные или общественные обязанности, работодатель должен освободить работника на время от работы с сохранением за ним места работы в соответствии со ст. 170 ТК РФ.
• При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• Не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законодательством. Например, при вызове скорой помощи или передаче информации трудовой инспекции, налоговой и др. при проведении проверки.
• Не сообщать ПД работника в коммерческих целях без его письменного согласия.
• Разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций.
• Предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, например оформить обязательство в письменной форме о неразглашении ПД.
• Осуществлять передачу ПД работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись.
• Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
• Передавать ПД работника представителям работников, например профсоюзам, в порядке, установленном законодательством, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.

Защита ПД работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств.

Работник имеет право обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите его ПД.

Правило 7. Учитывать ответственность работодателя за нарушение защиты ПД

В соответствии с Административным регламентом предметом государственного контроля (надзора) за соответствием обработки ПД требованиям законодательства являются:

• документы, характер информации в которых предполагает или допускает включение в них ПД;
• информационные системы ПД;
• деятельность по обработке ПД.

Лица, виновные в нарушении законодательства РФ в области ПД, привлекаются к дисциплинарной и материальной ответственности в соответствии с Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (Таблица 3).

Поскольку штрафы за нарушение работы с ПД повышены, работодателю следует внимательнее относиться к обработке данных своих работников и учитывать эти основные правила.

09.04.2021

Ближайшие группыСортировать:

Работаете с персональными данными клиентов и сотрудников? Стремитесь улучшить позиции в работе с иностранными компаниями и госсектором? Этот материал для вас.

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

• Что регулирует закон № 152-ФЗ «О персональных данных»?
• Кто попадает под действие закона?
• Какие основные требования закона № 152-ФЗ?
• Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
• Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Замеряем пульс российского диджитал-консалтинга

Какие консалтинговые услуги востребованы на российском рынке, и как они меняют бизнес-процессы? Представляете компанию-заказчика диджитал-услуг?

Примите участие в исследовании Convergent, Ruward и Cossa!

Заполнить анкету (займет всего 5 минут) →

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

• Сотрудников;
• Близких родственников сотрудников;
• Кандидатов на вакантную должность;
• Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

• Реклама и диджитал;
• Финансы и кредитование;
• Медицина и фармокология;
• Телекоммуникации;
• Образование;
• Офлайн- и онлайн-ритейл;
• Гостиничное дело;
• Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

• Для трудоустройства сотрудников и оформления им ДМС;
• Для выдачи карт лояльности;
• Для рекламных и новостных рассылок;
• Для оказания услуг;
• Для регистрации на сайтах и информационных системах;
• Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

• Наложение на организацию штрафа до 300 000 рублей;
• Наложение на должностных лиц штрафа до 10 000 рублей;
• Разрыв трудового договора с должностным лицом;
• Запрет руководителю занимать руководящие должности на срок до 3-х лет;
• Блокировка сайта организации по жалобе физического лица;
• Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

• Собственными силами;
• Привлечь юриста;
• Обратиться к системному интегратору;
• «Ждать, пока грянет гром»;
• Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

А еще обязательно подписывайтесь на наш Telegram-канал, там вся самая свежая информация!