Как теперь владельцу бизнеса работать с персональными данными
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Как теперь владельцу бизнеса работать с персональными данными». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
В какие сроки и по какой форме подать уведомление
Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.
В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).
Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:
-
на бумаге заказным письмом через Почту России;
-
в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;
-
в электронном виде через ЕСИА.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Рекомендации по формированию согласия на обработку персональной информации
Госорганы дают следующие рекомендации:
- В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
- Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
- Согласие на обработку персональной информации должно соответствовать требованиям законодательства.
Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:
- Обеспечение защиты персональных данных в соответствии законодательством РФ;
- Введение режима коммерческой тайны, защита служебной тайны;
- Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
- Аттестация рабочих мест и помещений;
- Консалтинг при получении лицензий ФСТЭК и ФСБ.
Категории персональных данных
Персональные данные делятся на категории:
- общая;
- специальная;
- биометрические данные;
- обезличенные.
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
- отпечатки пальцев;
- ДНК;
- сканирование сетчатки;
- распознавание радужки.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
Получение персональных данных
Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).
В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:
— из документов, предъявляемых при заключении трудового договора;
— по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
— в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
— от кадрового агентства, действующего от имени соискателя;
— из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.
Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.
В уведомлении необходимо указать:
— цели получения персональных данных работника у третьего лица;
— предполагаемые источники данных (у кого будет запрашиваться информация);
— способы получения данных, их характер;
— возможные последствия отказа работодателю в получении информации у третьего лица.
Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.
Меры защиты персональных данных
Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:
— установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
— установить особый порядок выдачи пропусков и удостоверений работников;
— использовать технические средства охраны;
— использовать программно-технический комплекс защиты информации на электронных носителях.
Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.
Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.
Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.
В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Организация защиты персональных данных
Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:
- оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
- организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
- соответствии паролей международным стандартам;
- отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.
У обработки данных должна быть цель
Закон говорит нам, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. То есть, невозможна обработка персональных данных, в отношении которых мы не можем сформулировать цель их обработки.
Самый яркий пример. Организация была наказана при проверке за то, что в офисе у кого-то на столе лежала копия чьего-то паспорта, и никто не мог вспомнить, что это за человек, и вообще какие отношения связывали организацию с этим человеком. Уже потом выяснилось, что просто кто-то забыл на столе. Соседка попросила снять копию, чтобы отнести в собес. В общем, сотрудник забыл. Проверяющий спрашивает: – Какова цель обработки персональных данных? Что это за человек? Подтвердите законность обработки персональных данных. И где согласие на обработку этих персональных данных? Естественно, эта организация ничего предъявить не смогла. Соответственно, сами себе, что называется, привнесли нарушение. И это тоже очень важный элемент.
Поэтому я всегда первым делом рекомендую организациям провести ревизию всех своих документов и определиться в отношении каждого документа, есть ли у вас цель обработки этих персональных данных. Если эти цели истекли давным-давно, то ничего этого у вас храниться не должно. Потому что, как говорит закон, обработка должна ограничиваться достижением. То есть, по сути, как только цель обработки персональных данных, для которой мы их собирали, достигнута, они у нас дальше храниться не должны. За исключением случаев, если это прямо предусмотрено законом.
Например, трудовой договор с сотрудником закончился или был расторгнут заранее. По идее, цель обработки персональных данных достигнута, действие трудового договора закончено. Но по законодательству о бухучете, налоговому законодательству мы должны определенное время еще хранить эти документы, 5 или 6 лет, если я не ошибаюсь. Вот если прямо предусмотрено законом, тогда мы можем хранить дальше. А если уже и эти сроки истекли, и дальнейшее хранение этих документов никоим образом не регламентировано, соответственно, считается, что и цель достигнута, и все эти документы должны быть уничтожены.
Для нас с вами актуальны два случая обработки персональных данных. Это если у нас с субъектом персональных данных заключен договор, и согласия здесь не требуется, если мы действуем строго в рамках предмета договора. И в случае, если мы имеем согласие субъекта персональных данных.
Что касается согласия, здесь в законе иезуитские формулировки. Закон говорит нам, что согласие на обработку персональных данных может быть дано субъектом в любой форме, позволяющей подтвердить факт его получения. При этом обязанность предоставить доказательства получения этого согласия опять же возлагается на операторов, то есть, на нас с вами, как организации. А как мы можем подтвердить? Какой наиболее простой способ подтвердить факт получения согласия? Естественно, это проще всего подтвердить письменной формой, но письменную форму заполнить не всегда получается потому, что, например, бывают случаи, когда мы получаем персональные данные, ну, например, через сайт. Если человек, субъект сам подписывается на нашу рассылку или через наш сайт записывается к нам на мероприятия на какие-то. Еще возможны какие-то варианты. Закон говорит о том, что в согласии должна быть либо собственноручная подпись, либо электронная цифровая подпись. Но электронную цифровую подпись физические лица мало кто имеет. У организаций это есть, а для физических лиц это, все-таки, достаточно диковинная штука. Как тут выходить из этой ситуации?
Если человек на сайте заполняет сам анкету, бывают случаи, когда человек предварительно может заполнить эту форму, потом, впоследствии мы, конечно, с него это письменное полноценное согласие возьмем, но пока, предварительно, эта форма в электронном виде. Здесь мы рекомендуем, и вообще, это уже достаточно устоявшаяся, в принципе, практика, делать следующее. Если вы на своем сайте даете возможность заполнения анкеты, и человек сам вводит туда свои персональные данные, во-первых, к этой форме нужно прицепить галочку о том, что человек ознакомлен с политикой в отношении обработки персональных данных — об этом мы сейчас очень подробно поговорим — и только после этого загорается кнопка «Отправить» или «Согласен».
А во-вторых, необходимо сделать так, чтобы как только анкета заполнена на сайте и человек нажимает кнопку «Отправить», в организацию конкретному сотруднику или на общий какой-то адрес приходил сигнал, что тогда-то, тогда-то, во столько-то, во столько-то на сайте была заполнена анкета. И вот этот файл необходимо сохранять – он будет подтверждать факт заполнения этой анкеты на вашем сайте. И, в случае чего, вы именно вот этим файликом сможете подтвердить факт заполнения этой формы.
Ну, здесь немножко попроще в том смысле, что человек заполняет свою форму на сайте, вы же не проверяете достоверность сведений, которые он ввел в эту форму. Некоторые люди могут представляться вымышленными или чужими данными. В общем, здесь хотя бы файл, подтверждающий факт заполнения этой формы, поможет в случае чего отвести от себя возможные претензии.