Статья 3 закона гласит, что персональными данными является любая информация, которая прямо или косвенно относится к субъекту персональных данных. Это может быть как ФИО, адрес, мобильный телефон, электронная почта, так и другие данные, которые помогут идентифицировать конкретного человека.
Под обработкой персональной информации понимаются сбор, запись, накопление, систематизация, дальнейшее использование и передача информации. Осуществляет ее оператор, в роли которого может выступать физическое или юридическое лицо, государственный или муниципальный орган.
Обратите внимание, что состав собираемых данных должен соответствовать целям их обработки (смотрите Статью 5 Федерального закона). Оператор не может запрашивать лишнюю личную информацию. Так, для перечисления работнику заработной платы не нужны данные обо всех его банковских счетах.
Операторы, обрабатывающие персональные данные, несут ответственность за защиту данных о физическом лице. Статья 7 посвящена конфиденциальности персональных данных. Согласно закону, операторы не имеют права передавать третьим лицам или разглашать личные данные субъекта без его согласия.
Штрафы за нарушение закона о персональной информации
Обеспечение безопасности персональной информации — обязательство каждой организации. Это касается не только данных сотрудников, но и информации, затрагивающей клиентов, пациентов, посетителей, участников различных мероприятий и партнеров. Организации обязаны следить за тем, чтобы все процедуры обработки персональных данных были безопасны и соответствовали законодательным нормам.
Нарушение правил обработки персональных данных влечет за собой административную ответственность, предусмотренную статьей 13.11 Административного кодекса РФ.
В 2023 году ответственность была ужесточена. С начала марта 2023 года были уточнены правила по удалению персональных данных. Теперь индивидуальные предприниматели, пренебрегающие законодательными нормами, могут быть оштрафованы на сумму от 20 до 40 тысяч рублей, а компании получат штраф от 50 до 90 тысяч рублей. Законом караются следующие нарушения:
Обработка персональных данных без письменного согласия субъекта персональных данных — 40 тысяч рублей для должностного лица (100 тысяч рублей при повторном нарушении), 300 тысяч рублей для ИП и 150 тысяч рублей для юрлица (500 тысяч рублей при повторном);
Отсутствие доступа к документу, поясняющему политику оператора в отношении персональных данных, — 12 тысяч рублей для должностного лица, 20 тысяч рублей для индивидуального предпринимателя и 60 тысяч рублей для юридического лица;
Непредоставление информации субъекту об обработке его персональных данных — 12 тысяч рублей для должностного лица, 30 тысяч рублей для ИП и 80 тысяч рублей для юрлица;
Нарушение сроков, установленных для уточнения субъектом его персональных данных, их блокировки или же уничтожения — 20 тысяч рублей для должностного лица (в случае повторного нарушения 50 тысяч рублей), 40 тысяч рублей для индивидуального предпринимателя (повторно — 100 тысяч рублей), 90 тысяч рублей для юридического лица (при повторном нарушении — 500 тысяч рублей);
Нарушение правил сохранности персональных данных без использования автоматизированные средств, повлекшее неправомерные действия в отношении персональных данных, — 20 тысяч рублей для должностного лица, 40 тысяч рублей для ИП и 100 тысяч рублей для юрлица;
Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных — 12 тысяч рублей для должностного лица;
Нарушение оператором обязанности записывать, систематизировать, хранить, уточнять или извлекать персональные данные граждан РФ, в том числе в Интернете, с использованием российских баз данных — 200 тысяч рублей для должностного лица (повторно — 800 тысяч рублей), 40 тысяч рублей для индивидуальных предпринимателей (в случае повторного нарушения — 100 тысяч рублей) и для юрлиц — 6 миллионов рублей (повторно — 18 миллионов рублей).
Рекомендации Роскомнадзора по обеспечению защиты личной информации
8 августа прошлого года Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) опубликовала список рекомендаций, предназначенный операторам персональных данных в связи с участившимися случаями утечки персональных данных.В рекомендации вошли следующие пункты:
Назначьте в вашей компании человека, ответственного за защиту личных данных, и предоставьте ему все необходимые полномочия для выполнения этой роли.
Сократите объем личных данных, которые вы собираете и используете, до самого необходимого для предоставления услуг, продажи продукции и других видов деятельности компании.
Обеспечьте отдельное хранение различных групп личных данных (как клиентов, так и сотрудников и соискателей на должность), особенно если они предназначены для различных целей обработки.
Размещайте идентификационные данные (имя, электронная почта, адрес, номер телефона) и информацию о взаимодействиях (предоставленные услуги, продажи, переписка, контракты и т.д.) в отдельных базах данных, которые не связаны напрямую. Для связи между этими базами используйте искусственные идентификаторы, которые не позволяют удостоверить личность без дополнительных данных и алгоритмов, и храните их отдельно.
Откажитесь от сбора личных данных без конкретной необходимости и создания клиентских профилей, если это не критически важно для вашей организации. Удаляйте личные данные, как только цель их использования выполнена (например, после выполнения услуги).
Для защиты данных используйте технические и программные средства, которые находятся в собственности оператора. Передача обработки данных третьим лицам не освобождает оператора от ответственности и уменьшает его контроль над мерами безопасности.
Оперативно сообщайте в Роскомнадзор о любых признаках или произошедших инцидентах, которые могли привести к утечке персональных данных.
Принимайте меры для физической защиты доступа к данным, чтобы предотвратить их компрометацию со стороны внутренних нарушителей.
Как компании обеспечить защиту персональных данных?
С 1 сентября 2022 году вступили в силу правила, согласно которым в Политике оператора необходимо указывать следующую информацию: цель обработки персональных данных, категории персональных данных, субъекта персональных данных, способы обработки и хранения персональных данных, а также порядок их уничтожения (часть 10 статьи 1 Федерального закона от 14 июля 2022 года № 266-ФЗ).
С 1 сентября 2024 году на организации была возложена обязанность сообщать в Роскомнадзор о намерениях в отношении обработки личных данных: ФИО сотрудников, лиц, получающий разовый доступ в офис, и так далее. Ранее организации не обязывали уведомлять об обработке данных гостей, персонала и подрядчиков, однако в этом году данный пункт был закреплен в статье 22 Федерального закона от 27 июля 2006 года № 152-ФЗ. Исключение составляют случаи, когда персональные данные обрабатываются вручную.
Уведомление содержит следующую информацию:
наименование компании или ИП, планирующих обрабатывать персональные данные, а также их адрес;
цель обработки персональной информации;
сведения о наличии шифровальных или криптографических средств, а также их наименования — при наличии;
ФИО сотрудника, отвечающего за обработку персональных данных, а также его контактная информация;
сроки обработки персональных данных;
сведения о наличии или же отсутствии передачи данных за границу в процессе их обработки;
информация о местоположении базы данных, содержащей персональную информацию граждан;
сведения об обеспечении безопасности персональных данных.
Необходимо уведомлять ведомство об изменениях в информации не позднее 15-го числа следующего месяца. Сведения о прекращении работы с персональными данными нужно предоставить не позднее, чем спустя 10 рабочих дней с момента завершения сбора и обработки.
Но как же соблюсти все требования законодательства РФ и избежать штрафов?
Необходимо разработать внутренний документ, который будет регламентировать процессы взаимодействия с личными данными. В нем должны быть прописано следующее:
как осуществляется обработка, хранение и использование данных физлиц;
какие документы включают в себя личные данные и какие нуждаются в защите;
каковы методы передачи проверенных данных между подразделениями компании и внешними контрагентами;
кто из сотрудников имеет доступ к конфиденциальной информации;
каковы последствия за нарушение установленных правил обработки данных, в том числе дисциплинарные, финансовые, административные, гражданско-правовые и уголовные.
Затем стоит назначить ответственное лицо, которое будет отвечать за работу с персональными данными внутри организации, согласно статье 22.1 Федерального закона от 27 июля 2006 N 152-ФЗ. Ответственное лицо не только следит за соблюдением законодательства РФ, но и информирует работников о положениях, касающихся работы с персональными данными, а также обрабатывает обращения и запросы со стороны субъектов личных данных.
Важно определить круг лиц, которые имеют доступ к персональным данным. Это могут быть HR-специалисты, которые работают с соискателями, кадровые специалисты и т.д. Согласно статье 88 ТК РФ, доступ к личным данным должны иметь лишь уполномоченные лица. Рекомендуется предоставлять различный уровень доступа сотрудникам: так, секретарь может купить билет на поезд, используя паспорта руководителя, а бухгалтер — оформить больничный лист. Обязанность работодателя — запросить соглашение о неразглашении (NDA) с каждого сотрудника, имеющего доступ к персональным данным, и предупредить о возможной ответственности.
Необходимо выбрать способ безопасного хранения персональных данных. Так, при использовании автоматизированных систем стоит ориентироваться на приказ ФСТЭК № 21 от 18 февраля 2013 года. Во-первых, ограничить доступ к электронным базам данных для определенных категорий работников. Во-вторых, использовать двухуровневую систему паролей — как на уровне сети, так и на уровне базы данных, а также регулярно менять пароли. В-третьих, ключи предоставлять лишь авторизованному персоналу.
При работе с бумажными носителями меры будут иными. Физические носители, как правило, располагаются в хранилищах, доступ в которые имеет определенный круг лиц. Многие компании устанавливают системы сигнализации и видеонаблюдения, чтобы обеспечить сохранность документации и личных данных.
Некоторые организации берут согласие на обработку персональной информации как с клиентов, так и с сотрудников, хотя запрашивать согласие на получение информации из паспорта, СНИЛСА или диплома — необязательно. Согласие на обработку личной информации должно быть предметным и конкретным — в нем обязательно нужно указать цель обработки: например, трудоустройство. В согласии должны содержаться следующие данные:
перечень персональных данных;
наименование, а также адрес оператора, осуществляющего работу с персональными данными;
список операций с персональными данными;
срок обработки персональных данных;
место и способ их обработки, срок действия согласия;
отметка физического лица о согласии — подпись.
Обратите внимание, что нужно заранее оповестить Роскомнадзор об обработке персональных данных с помощью формы, разработанной специально для компаний. Сделать это можно несколькими способами.
Направить заполненный бланк в отделение ведомства
Заполнить форму на портале Роскомнадзора
Заполнить форму на «Госуслугах», если у компании есть подтвержденная учетная запись.
Также запрашивается и другой документ — согласие на распространение персональных данных (подробнее смотрите в разделе «Распространение персональных данных: новые законодательные нормы»). Например, при публикации информации об опыте и образовании сотрудника в рекламных материалах.
Распространение персональных данных: новые законодательные нормы
С 1 марта текущего года в Федеральный закон от 27 июля 2006 года № 152-ФЗ были внесены изменения, касающиеся распространения персональной информации. Предоставление данных широкой аудитории теперь требует индивидуального согласия. Обратите внимание, что обнародование информации неопределенному кругу лиц отличается от ее передачи третьим лицам: в первом случае речь идет о публикации данных в открытых источниках. Например, на стенде «Работник месяца».
Для распространения информации необходимо согласие. В документе указываются следующие пункты:
ФИО и другие контактные данные физлица;
информация об операторе данных — название организации, адрес;
цель обработки персональных данных;
перечень информации, подлежащей распространению, а также, при необходимости, условия и ограничения при ее распространении;
срок действия согласия.
Оператор может воспользоваться образцом документа на официальном сайте Роскомнадзора. Для этого понадобится верифицированный аккаунт на портале Госуслуг.
Запрос на получение формы согласия на обработку персональной информации создается на сайте Роскомнадзора с использованием системы ЕСИА. После этого оператору предоставляется возможность заполнить форму, учитывая особенности своей деятельности. Заполненный шаблон отправляется на рассмотрение в Роскомнадзор для получения обратной связи. Если же оператор предпочтет разработать собственный документ, он должен включить в него все необходимые пункты, предусмотренные Приказом № 18 от 24 февраля 2021 года.
Обратите внимание! Оператор обязан опубликовать информацию о полученных от физических лиц согласиях в течение трех дней. В законе нет четкого указания, где нужно обнародовать данные, так что сделать это можно на той же платформе, где и распространяется персональная информация.
Разработка Положения о персональных данных
Согласно статье 87 ТК РФ, порядок хранения и использования персональный данных устанавливается работодателем, но с учетом норм Трудового кодекса, а также федеральных законов.Как правило, Положение о персональных данных имеет следующую структуру:
В части общих положений необходимо указать цель разработки документа, дату его вступления в силу, а также круг затрагиваемых вопросов.
Стоит обозначить способы получения и обработки данных. В этом разделе нужно указать список сведений и документов, получаемых от физических лиц, а также их обязанность и сроки по уведомлению об изменении личных данных.
В отдельный раздел вынесете хранение личной информации — способы и сроки хранения, способы защиты от утечек, а также круг лиц, имеющий доступ к персональной информации.
В части использования нужно обозначить цель применения данных о физических лицах, а также границы их использования.
В передаче необходимо указать условия и способы передачи персональной информации, а также круг лиц, которые могут сделать запрос на передачу сведений.
Финальная часть — это гарантии конфиденциальности. Обозначьте меры по сохранности персональных данных, способы их защиты — не забудь прописать права сотрудников в случае утечки информации.
Передача данных третьим лицам
Оператор вправе передать обработку личной информации третьему лицу, согласно Федеральному закону №152. Например, для оказания услуг кадрового учета, рекламных рассылок или же сопровождения интернет-ресурсов.
Обратите внимание! У обработчика персональной информации нет обязанности запрашивать отдельное разрешение на обработку данных у субъекта. Однако полная ответственность в данном случае все еще лежит на операторе. За исключением случаев, когда обработку берет на себя зарубежное физлицо или юрлицо — тогда ответственность несет и иностранный обработчик.
Для этого необходимо составить Договор-поручение, отвечающий требованиям части 3 статьи 6 Федерального закона №152. В документе нужно прописать следующее:
указать список подлежащей обработке информации;
указать цель работы с персональной информацией;
установить обязанность соблюдать конфиденциальность данных и безопасность при их обработке;
установить обязанность выполнять запросы оператора данных по предоставлению необходимой информации, в том числе о принятии мер по обеспечению безопасности данных.
В некоторых случаях оператор не имеет возможности обрабатывать персональные данные самостоятельно: например, при выпуске карт для перечисления заработной платы или для медицинского обследования сотрудников. В таком случае оформляется договор Передачи данных третьим лицам.
Основное отличие данного договора в том, что вторая сторона несет ответственость после передачи персональной информации. Таким образом вина за утечки и другие случаи невыполнения законодательных требований лежит на той стороне, чьи действия привели к нарушению обработки данных.
Уведомление об утечке персональной информации
Согласно 21-й статье Федерального закона «О персональных данных», при выявлении выдачи информации, повлекшей за собой несоблюдения прав субъектов персональных данных, оператор должен сообщить о произошедшем в Роскомнадзор и в течение трех дней предоставить результаты внутреннего расследования утечки.
Статья 19 того же закона гласит, что на операторе лежит обязательство работать с государственной системой предотвращения и реагирования на компьютерные атаки (ГосСОПКА), включая формирование докладов об инцидентах, приведших к несанкционированной передаче данных.
В 2022 году была введена процедура уведомления о фактах утечки данных в Роскомнадзор и ГосСОПКА. Появились новые нормы, касающиеся трансграничной передачи данных, о которых также необходимо сообщать Роскомнадзору. Была введена сертификация специалистов по работе с персональной информацией и установлено требование передачи биометрических сведений в Единую биометрическую систему.
Кроме того, в Государственной Думе обсуждается законопроект, предусматривающий введение повторных штрафов за нарушения, связанные с утечками данных.
Дополнительный уровень безопасности дает двухфакторная авторизация пользователей, а также регулярные проверки компанией мер по обеспечению безопасности персональной информации.