Консалтинг Онлайн
Защита персональных данных

Обработка персональных данных: инструкция для организаций

Если работаете с персональными данными клиентов или сотрудников, то у вас есть обязанности — разработать внутренние регламенты и локальные акты, назначить ответственных, определить меры защиты ПД, уведомить Роскомнадзор о начале работы с данными. Приведем подробную инструкцию.

Обязанности организаций при работе с персональными данными 

Чтобы правильно организовать работу с персональными данными, компаниям необходимо следить за изменениями в законодательстве, разъяснениями Роскомнадзора и соблюдать требования закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В законе № 152-ФЗ обязанностям операторов ПД посвящена глава 4. В ней можно найти информацию:

  • как собирать персональные данные (статья 18);

  • как организовать процессы внутри компании при работе с ПД — назначение ответственных, разработка политики ПД и локальных актов (статья 18.1);

  • какие организационные и технические меры предпринимать для защиты данных (статья 19);

  • как работать с запросами владельцев персональных данных и контрольных органов (статья 20);

  • как действовать при инцидентах, компьютерных атаках и неправомерных доступах к ПД (статья 21);

  • как проинформировать Роскомнадзор о начале работы с персональными данными (статья 22);

  • какие функции выполняют ответственные сотрудники за обработку данных (статья 22.1).

Кроме этого, обязанности операторов напрямую связаны с правами субъектов ПД (ст. 9 закона № 152-ФЗ) — обрабатывать данные только с согласия их владельца.

Обработка персональных данных — это не только защита информации о клиентах, покупателях, пациентах, но и о сотрудниках организации. 

Необходимо составить списки сотрудников, определить категории ПД и обеспечить частичный доступ ответственным сотрудникам. Например, дать бухгалтеру доступ к зарплатной ведомости, а юристам — к адресам и паспортным данным сотрудников.

Ответственность и штрафы

Операторам персональных данных грозит ответственность по ст. 13.11 КоАП за неправильную обработку, использование незарегистрированных в России баз данных, ограничение доступа к политике в отношении ПД.

Для организаций действуют следующие штрафы (ст. 13.11 КоАП):

  • обработка данных, которые не соответствуют целям компании — до 100 тыс. руб. при первом нарушении, до 300 тыс. руб. при повторном нарушении (часть 1 и 1.1);

  • сбор данных без согласия их владельца — до 700 тыс. руб. при первом нарушении, до 1,5 млн руб. при повторном нарушении (часть 2 и 2.1); 

  • неразмещение в открытом доступе или ограничение доступа к политике персональных данных — до 60 тыс. руб. (часть 3);

  • обработка персональных данных без уведомления их владельца — до 80 тыс. руб. (часть 4);

  • нарушение сроков при ответах на запросы граждан и контрольных органов — до 90 тыс. руб. при первом нарушении, до 500 тыс. руб. при повторном нарушении (часть 5 и 5.1);

  • нарушение безопасности персональных данных и несанкционированный к ним доступ без использования автоматизированных средств — до 100 тыс. рублей (часть 6);

  • нарушение обязанности по использованию локальных баз данных, состоящих на учете в России — до 6 млн руб. при первом нарушении, до 18 млн руб. при повторном нарушении (часть 8 и 9); 

В ч. 2 ст. 22 закона № 152-ФЗ указано всего три исключения — это компании, которые вправе работать с ПД без уведомления Роскомнадзора. Это значит, что все остальные компании должны быть зарегистрированы в Роскомнадзоре и включены в реестр. На сайте «Роском Онлайн» вы можете скачать чек-лист с перечнем обязательных процедур и документов для работы с персональными данными. Заполните форму для бесплатной консультации и юристы свяжутся с вами, чтобы ответить на все вопросы. 

Оставить заявку

Когда компания размещает в интернете вакансию и предлагает направить ей резюме, сопроводительные письма и другую информацию о кандидате — она уже берет на себя ответственность за сохранность полученных данных. 

Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать человека (ст. 3 закона № 152-ФЗ). А при неправомерном использовании — нанести вред его личной, частной или семейной жизни.

К персональным данным относятся — фотографии, ИНН, данные военного билета, информация об образовании, биометрические данные, результаты медицинских обследований и т.д. 

Инструкция для организаций

Требования Роскомнадзора и нормы закона № 152-ФЗ направлены на выполнение организациями своих обязанностей — соблюдать права граждан, отчитываться о предпринимаемых мерах, выявлять нарушения внутри компании, разрабатывать локальные акты.

Шаг 1. Уведомляем Роскомнадзор

Все организации, которые работают с клиентами, покупателями, пациентами, направляют уведомление в Роскомнадзор еще до начала работы с персональными данными (ч. 1 ст. 22 закона № 152-ФЗ). И если вы не имеете отношение к списку исключений (ч. 2 ст. 22), то эта обязанность вас тоже касается.

Уведомление подается по форме из приказа Роскомнадзора от 22.08.2022 № 180, опубликованного на сайте Минюста. 

В уведомлении о намерении осуществлять обработку указываем:

  • цели и законные основания для обработки ПД;

  • категории персональных данных;

  • категории владельцев ПД;

  • способы и действия, осуществляемые компанией при работе с ПД;

  • ответственные сотрудники;

  • дату начала работы с данными;

  • сроки или условие прекращения работы с ПД;

  • место нахождения используемой локальной базы данных, зарегистрированной в России;

  • подписи оператора или должностных лиц.

Подать заявление можно тремя способами:

  • Заполнить форму на сайте Роскомнадзора — затем распечатать и направить почтовым письмом в территориальное ведомство РКН.

  • Заполнить на сайте Роскомнадзора электронную форму — и подписать усиленной квалифицированной электронной подписью (УКЭП).

  • На «Госуслугах» — потребуется подтвержденная учетная запись.

Роскомнадзор проверяет уведомление и вносит информацию об организации в реестр операторов в течение 30 дней.

  • Если необходимо внести изменения в уведомление, то сделайте это до 15 числа следующего месяца (ч. 7 ст. 22 закона № 152-ФЗ).

  • Если прекращаете работу с персональными данными сообщите в Роскомнадзор в течение 10 рабочих дней (ч. 7 ст. 22). 

В приказе Роскомнадзора № 180 также утверждены формы уведомлений для внесения изменений и прекращения работы с ПД.

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Шаг 2. Разрабатываем политику в отношении ПД

Политика ПД — это один из основных внутренних регламентов компании при работе с данными граждан. Она должна быть размещена на сайте компании для всеобщего доступа (ч. 2 ст. 18.1 закона № 152-ФЗ).

Политика включает в себя следующие пункты:

  • цели компании при работе с данными;

  • категории ПД (общие, специальные, биометрические или иные);

  • категории владельцев данных;

  • законные основания для обработки;

  • способы обработки (с использованием автоматизированных и (или) неавтоматизированных средств);

  • действия, который компания осуществляет при работе с ПД.

Обычно разработку политики поручают ответственному лицу. Все сотрудники должны быть ознакомлены с документом под роспись, так как относятся к субъектам ПД.

Шаг 3. Издаем приказ о назначении ответственного

За организацию работы с персональными данными отвечает уполномоченный сотрудник, назначенный руководством (ст. 22.1 закона № 152-ФЗ). Он контролирует процесс, ознакамливает сотрудников с внутренними документами, работает с запросами граждан.

Как правило, ответственного назначают из высшего звена — заместителя руководителя, начальника кадрового отдела или начальника службы безопасности.

За автоматизированные системы обычно отвечает начальник отдела IT.

Шаг 4. Разделяем доступы по зонам ответственности

Организации дают частичный доступ к базам данных, исходя из функционала сотрудников. Полномочия ответственных определяются в соответствии со ст. 88 ТК РФ

Доступы делятся на уровни в зависимости от должностных обязанностей. Например, секретарь заказывает билеты для отправки сотрудника в командировку. Бухгалтер оформляет больничные листы. А руководители подразделений имеют доступ только к спискам своих подчиненных. 

Такая «разводка» доступов по функциям обеспечивает надежную защиту и исключает использование данных третьими лицами. Необходимо издать приказ со списком сотрудников и их полномочиями (постановление Правительства от 15.09.2008 № 687).

С каждым ответственным лицом подписывается обязательство о неразглашении. Сотрудники обязуются не передавать, не разглашать и не распространять личные данные третьим лицам. 

Шаг 5. Обеспечиваем безопасное хранение

Организации должны ограждать персональные данные от неправомерного доступа — для этого используются все возможные способы хранения в зависимости от используемых средств.

Например, безопасность информационных систем обеспечивается на основании приказа от 18.02.2013 ФСТЭК № 21:

  • доступ к автоматизированным системам открыт только уполномоченным лицам;

  • используются двухуровневые пароли для входа в корпоративную сеть и локальную базу;

  • ежемесячно меняются пароли;

  • ключи доступа выдаются авторизованным сотрудникам.

При обработке ПД без использования автоматизированных систем безопасность обеспечивается так:

  • доступ к местам хранения физических носителей есть только у уполномоченных сотрудников, которые включены в специальные списки;

  • при необходимости в помещении устанавливаются видеокамеры и системы сигнализации.

За несоблюдение правил хранения организациям грозит штраф по ст. 13.11 КоАП — до 100 тысяч рублей.

Шаг 6. Разрабатываем иные локальные акты и внутренние регламенты

Количество и состав локальных документов отличаются в разных компаниях в зависимости от их направления деятельности, целей и специфики. Помимо обязательных документов организации вводят в свои процессы документы дополнительного контроля — результаты проверок, протоколы, результаты инициативного аудита и т.д. 

В ходе проверок контрольные органы могут задать вопросы, на которые эти документы помогают ответить и подтвердить, что компания соблюдает законодательство в сфере персональных данных.

Заключение

Соблюдение законодательства и требований Роскомнадзора в сфере обработки персональных данных помогает избежать штрафов и ненужных проверок.

Чтобы минимизировать риски, рекомендуем:

  1. Следить за обновлениями в законодательстве. Регулярно проверяйте изменения в законах и нормативных актах, чтобы своевременно адаптировать внутренние процедуры. Например, раньше в ст. 22 закона № 152-ФЗ было указано 9 категорий компаний, которые могли работать без уведомления Роскомнадзора, сейчас таких исключений всего три (ч. 2 статьи 22). 

  2. Обучать сотрудников. Разработайте систему обучения и ознакомления сотрудников с правилами работы с персональными данными и внутренними регламентами (п. 6 ч. 1 ст. 18.1 закона № 152-ФЗ).

  3. Использовать надежные базы данных. Используйте современные средства защиты данных, такие как двухфакторная аутентификация, шифрование и системы мониторинга безопасности. Для обработки и хранения данных пользуйтесь локальными базами, зарегистрированными в России (ч. 5 ст. 18 закона № 152-ФЗ).

  4. Проверять и обновлять документы. Убедитесь, что все локальные акты и регламенты актуальны и соответствуют реальным процессам в компании. Обеспечьте неограниченный доступ к политике персональных данных, например, опубликуйте на сайте компании (ч. 2 ст. 18.1 закона № 152-ФЗ).

  5. Взаимодействовать с Роскомнадзором. Своевременно уведомляйте контрольный орган о начале или прекращении обработки данных, а также об изменениях, происшествиях и результатах контроля (ст. 22 закона № 152-ФЗ).

На сайте «Роском Онлайн» проверьте регистрацию компании в реестре операторов. В реестре должны находиться все организации, которые собирают и обрабатывают персональные данные клиентов, покупателей, пациентов. А если не знаете, какие документы вам нужны для работы с ПД, то скачайте чек-лист со списком обязательных процедур по закону № 152-ФЗ и ссылками на НПА. 

Регистрация в реестре Роскомнадзора для работы с персональными данными

На Роскомнадзор не распространяются «надзорные каникулы», поэтому он может провести внеплановую проверку вне зависимости от возраста и размера организации

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGUJVng

Начать дискуссию