Обработка персональных данных регулируется

Помощь по теме: "Обработка персональных данных регулируется" с полным описанием проблематики и решением. Ели у вас есть вопросы, то обратитесь к дежурному консультанту.

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.


Источник: http://www.garant.ru/actual/persona/

Обработка персональных данных

В 2006 г. на правительственном уровне был утвержден нормативно-правовой акт об обработке персональных данных. В свод федерального акта включены любые сведения о человеке, которые прямо или косвенно относятся к гражданину и передаются третьей стороне отношений. Об условиях передачи сведений о субъекте, а также об обеспечении конфиденциальности указано в ФЗ № 152.

Суть правового документа № 152

Порядок обработки и защиты персональных данных (ПДН) регулируется актуальным на 2020 год ФЗ № 152. Подобная процедура предусмотрена в отношении материалов передаваемых в формате online и offline.

Основные положения

Примечательно, что нормативный акт сформирован не для защиты системного обеспечения и серверных станций, а направлен на предупреждение угроз личных сведений субъекта. Ввиду этого соблюдение правового документа начинается не с установки антивируса на сервер, а с организации системы обработки персональных данных.

В качестве основного органа, на которого возложены полномочия проверки, является Роскомнадзор. Учреждение не принимает в учет состояние технического оборудования и средств, а обращает внимание на основания для ПДН:

  • цель сбора;
  • объем;
  • период хранения;
  • наличие на сайте политики конфиденциальности;
  • сбор согласия на передачу и обработку третьей стороной.

ФЗ № 152 о согласии на обработку персональных данных был разработан в 2006 г., однако наиболее существенные корректировки были внесены спустя 12 мес. Так, меры ужесточения были внесены в отношении ответственности, а также изменениям подверглись требования и правила хранения информации. В 2020 г. эта редакция федерального акта остается в силе.

В настоящей статье № 3 части № 1 установлено, что под ПДН подразумевается любой тип информации, которая косвенно или прямо относятся к конкретному гражданину. В подобных ситуациях человек представляется, как субъект персональных материалов.

Последние изменения

Корректировки в отношении ответственности операторов, занимающихся анализом, сбором и хранением личных материалов, были внесены в 2018 г. В соответствии с частью № 5 статьи № 6 оператор обязан:

  1. Нести ответственность за переработку сведений и осуществление надлежащего уровня защиты согласно действующему законодательству России.
  2. Порядок проведения контроля за действиями человека или юридического лица, устанавливается самостоятельно.

В связи с этим, если оператор привлекает к работе по ПДН третью сторону, то за их нарушения несет ответственность.

Исключения из правил по обработке личных данных

В соответствии со ст. № 22 п. № 2 настоящего Федерального закона исключениям из правил являются следующие случаи:
  • переработка ИСПДН для личных нужд, в том числе семьи;
  • необходимость продиктована соблюдением ТК России;
  • информация передана по итогам подписания контракта и применяется для его реализации, но при этом не подлежит передаче другой стороне;
  • материалы относятся к членам или представителям социальных и религиозных организаций, действующих в рамках закона, но при условии, что информация не будет передаваться сторонним лицам;
  • субъект в самостоятельном порядке сделал личные сведения доступными;
  • при условии, что информация содержит только Ф. И. И. субъекта;
  • в качестве разового пропуска на территорию объекта работы оператора ИСПДН;
  • если информация внесена в госсистему для сохранения конфиденциальности и проведения мер безопасности;
  • когда сверка сведений происходит вручную в рамках нормативных актов;
  • переработка, предусмотренная транспортной безопасностью, в том числе для предупреждения угрозы работы общественных ТС.
Читайте так же:  Образец мирового соглашения по кредиту

Категории

Закон № 152 об обработке персональных данных относится ко всем владельцам web-порталов, где происходит взаимодействие с личными сведениями людей. Нормативный акт описывает порядок обеспечения безопасности персональных материалов, сроки и условия хранения.

К видам обработки персональных данных относится:

  • форма, предназначенная для обратной связи с посетителем портала;
  • web-страницы для размещения объявлений;
  • анкеты;
  • опросники;
  • сбор биометрической информации;
  • формы отзывов, комментариев, заказа;
  • процедура сбора сведений о пользователях веб-портала.

Таким образом, ФЗ № 152 относится к получению сведений о посетителях web-страницы, если это касается:

  • Ф. И. О. субъекта;
  • место регистрации или проживания;
  • налоговый идентификатор;
  • e-mail;
  • номер мобильного, стационарного телефона;
  • дата рождения, в том числе место;
  • фотокарточка;
  • ссылка на личный портал или аккаунт в социальных сетях;
  • указано образование, трудовая деятельность;
  • финансовый и семейный статус;
  • геоположение, IP, cookies.

В категорию личных сведений может входить и другая информация, т. к. ФЗ № 152 не вводит ограничений в этот список.

Субъекты и их права по ФЗ № 152

Субъектом ИСПД выступает физлицо, личность которого возможно определить прямым или косвенным способом за счет полученной информации. Таким образом, каждый пользователь попадает под действие закона, если владелец web-портала собирает сведения.

В связи с этим нормативный акт определяет права субъектов персональной информации:

  1. Получать информирование о переработке его ИСПД. В частности:
  • факт обработки;
  • законные основания;
  • цель;
  • способ переработки;
  • название и расположение оператора;
  • источники;
  • период хранения и действия процедуры;
  • предполагаемая передача;
  • если от лица оператора выступает третий участник, то указывается Ф. И. О. и адрес проживания.
  1. Пользователь сайта вправе потребовать уточнить состав ИСПДН, а также подвергать блокировке и удалять, если они неполные, утратили актуальность, либо получены незаконным путем.
  2. Получать отчет в доступном формате по запросу.
  3. Направлять повторный запрос.

Требования к хранению и обработке персональных сведений

Под ПДН понимаются любые операции или комплекс мер, совершаемых с применением систем автоматизации или без использования подобных средств. В перечень действий включен:
  • сбор;
  • запись;
  • распространение;
  • хранение;
  • блокировка;
  • ликвидация;
  • обезличивание.

Обработка

Список требований к обработке персональных данных:

  • правомочность;
  • период операции имеет ограничение в виде достижения цели;
  • запрещена «склейка» баз, сформированных для разных целей;
  • обработке подлежит только та информация, которая соответствует целям, заявленному содержанию и объему;
  • ИСПДН должны быть при этом точными, актуальными — при несоответствии критериям оператор обязан их ликвидировать либо внести корректировки.

Хранение

К хранению и правилам обработки персональных данных предъявляются такие требования, как:

  • форма хранения должна определять человека;
  • период не должен превышать даты завершения цели, если время не определено настоящим федеральным законом или соглашением;
  • при достижении целей ИСПДН материалы обезличиваются, ликвидируются оператором;
  • сервера для хранения должны находиться в Российской Федерации.

Система безопасности формируется в соответствии с требованиями уровня защиты, предупреждающие угрозы для личных материалов субъекта. Допускается проведение проверки ФСТЭК.

Дополнительные условия для юр. лиц

Организациям необходимо проанализировать сайт на предмет соответствия требованиям ФЗ № 152 и актуальному на 19 г. законодательству Российской Федерации:

Хостинг, сервер Расположение в пределах Российской Федерации согласно требованиям ФЗ № 242
Текст возле формы для сбора материалов «При нажатии/пользовании сайтов пользователь автоматически дает согласие на обработку ПДН». Дополнительно на портале владелец обязан установить файл о Пользовательском соглашении.
Размещение пользовательского соглашения Эксперты рекомендуют расположить текст в отдельном разделе сайта
Требования к содержанию документа
  • название, Ф. И. О. оператора в согласно приказа;
  • цель сбора материала о физическом лице;
  • список пунктов, на которые дается согласие;
  • при поручении проводить анализ, сбор и хранение ИСПДН указать Ф. И. О. третьей стороны;
  • список операций, для которых делается запрос на согласие;
  • период;
  • указание на возможность отзыва разрешения лично или по доверенности от законного представителя.
Политика переработки ИСПДН Указание в виде ссылки
Новые пользователи сайта Должна высвечиваться всплывающая форма предупреждения о сборе IP, геоположения, cookies и т. п. Если пользователь не согласен с проводимой политикой web-страницы — обязан покинуть её.

Способы защиты ПДН

Роскомнадзор — уполномоченный орган для проведения проверок web-ресурсов, в том числе внеплановых. Примечательно, что последний вариант анализа порталов осуществляется по заявке граждан. В связи с этим, если не соблюдается федеральный закон, то существует высокий риск стать фигурантом дела по КоАП или УК России. Каждый пользователь вправе подать жалобу за несанкционированный доступ и использование личных материалов.

Выявление нарушений Роскомнадзором влечет утрату репутации и наложении высоких штрафных санкций. При возбуждении дела по статье УК России сайт подвергается блокировке. Подобная ситуация произошла с соцсетью LinkedIn.

Защита личной информации — это комплекс мер, направленных на обеспечение безопасности сведений о субъекте, на основании которых можно его идентифицировать.

В Российской Федерации защитные меры от угрозы передачи в свободный доступ ИСПДН проводится за счет специального режима переработки материалов. В состав процедуры включены следующие операции:

  • формирование внутренних документов для работы оператора;
  • установки технических средств защиты;
  • получение лицензии от уполномоченного органа — ФСТЭК, ФСБ;
  • получение сертификата для защиты информационных пакетов данных через аналогичные органы контроля.
Читайте так же:  Изменения подачи искового заявления

Степени защиты личных данных

Этапы средств защиты информации на обработку персональных данных:

  • выявление действий, требующих сверки личных материалов;
  • выделение процессов;
  • определение списка работников и филиалов организации, имеющих доступ к личным материалам пользователей;
  • установление сотрудников и процессов для проведения анализа;
  • выявление набора систем и комплекса для сверки;
  • установление категорий ИСПДН и классификации систем;
  • формирование необходимой формы предполагаемых угроз для обеспечения безопасности;
  • подготовка ТЗ для формирования системы безопасности;
  • подача заявления в письменной форме о субъектах персональных данных в Роскомнадзор — процедура регистрации;
  • направление в ФСТЭК заявки на получение соответствующей документации;
  • разработка требований для отдельной системы безопасности, в т. ч. с учетом уровня защиты;
  • подготовка проекта по предупреждению угроз;
  • сформировать внутренние бумаги по защите личных материалов пользователей;
  • разработка и внедрение проекта системы;
  • получение от посетителей web-страницы согласия субъекта персональной информации;
  • систематически проводить меры по контролю нарушений.

Уровни защищенности ПДн

В ПП № 1119 от 1 ноября 12 года утверждены уровни защиты личных материалов пользователей информационных сетей. Для каждого этапа предусмотрены отдельные требования, подлежащие выполнению. Для подбора необходимого уровня нужно выявить параллельные условия, а именно:

  • категория данных;
  • форма взаимоотношений между физическим и юридическим лицом;
  • численность субъектов;
  • возможные виды угроз.

После сопоставления сведений владелец сайта получает представление о том, какой уровень защиты в соответствии с Федеральным законом № 152 Российской Федерации требуется.

При нарушении положений нормативно-правового акта предусмотрена ответственность в отношении оператора. Размер санкций прописан в статье № 13.11 КоАП России. Например, в отношении должностных лиц вводится сначала предупреждение, затем штраф в объеме 1000-3000 руб. Для ИП наказание предусмотрено в размере 5000-10000 рублей, а для юридических лиц — 30000-50000 р.

Источник: http://zakonoved.su/%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85.html

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Читайте так же:  Отказ от отцовства по обоюдному согласию процедура

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источник: http://www.klerk.ru/boss/articles/449381/

Закон «О персональных данных» — что нужно знать агентству

Работаете с персональными данными клиентов и сотрудников? Стремитесь улучшить позиции в работе с иностранными компаниями и госсектором? Этот материал для вас.

Видео (кликните для воспроизведения).

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Читайте так же:  Нарушения законодательства субъектами права

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

МегаФон Таргет – получите промокод бесплатно и запустите свою первую кампанию!

Таргетированные SMS-рассылки с множеством фильтров для определения ЦА. Стоимость от 1,7 руб. за сообщение, CTR доходит до 45%!

Получите промокод на 1000 SMS на вашу первую кампанию прямо сейчас! Cossa рекомендует.

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации.
2. Привести процессы работы с персональными данными в соответствие с законом.
3. Реализовать техническую защиту персональных данных в информационных системах.
4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

Читайте так же:  Приказ мвд рф 360 выезд за границу

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Видео (кликните для воспроизведения).

Источник: http://www.cossa.ru/152/116858/

Обработка персональных данных регулируется
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here