Положение об обработке персональных данных
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Положение об обработке персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
- Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
- Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).
Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.
В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.
Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.
Наиболее часто мы передаем данные при обращении в банк, интернет-магазин либо в страховую компанию. Например, если мы заказываем страховой полис на сайте страховщика, то всегда даем согласие на использование данных еще до регистрации и получения доступа в свой личный кабинет. Для этого просто ставится галочка о согласии на передачу сведений в конце заполненной онлайн формы заявления о страховании.
Для покупки ОСАГО придется передать не только паспортные данные, но и полную информацию о своем водительском стаже, марке машины, классе страхования. Эту информацию страховщик обрабатывает (сохраняет, использует для оповещения клиента, передает курьерской службе, для запроса дополнительной информации о страхователе в базе РСА).
В целях обеспечения безопасности страховые компании применяют специальные технические меры. Канал, по которому передается информация шифруется. Доступ в свой личный кабинет получают исключительно авторизированные пользователи.
Категории персональных данных
Персональные данные делятся на категории:
- общая;
- специальная;
- биометрические данные;
- обезличенные.
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
- отпечатки пальцев;
- ДНК;
- сканирование сетчатки;
- распознавание радужки.
Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.
Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.
Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.
- Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
- сотрудников фирмы;
- при заключении договоров;
- в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
- Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
- Определить цели работы с личными данными и работать с ними строго с заявленными целями.
- Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
- Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.
Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.
Чаще всего это:
- регламент обработки данных;
- правила компании по подбору персонала;
- введение пропускного режима;
- перечень мест хранения данных;
- регламент уточнения, уничтожения ПДн.
- Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
- Утвердить перечень сотрудников, которые допущены к работе с информацией.
В год грядущий – во всеоружии
На протяжении последних шести лет законодатель неоднократно обращал внимание на вопрос защиты персональных данных граждан России. За это время был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, регулирующий вопрос защиты персональных данных работника, введен ряд подзаконных нормативных актов, которыми каждый участник отношений, возникающих при передаче персональных данных, должен руководствоваться.
Повышенный интерес государства к нормативному обеспечению защиты персональных данных обусловлен большим количеством случаев мошенничества со стороны недобросовестных операторов, работающих с персональными данными и допустивших утечку этой информации и последующее ее незаконное использование преступниками.
Таким образом, в продолжение «линии защиты» в декабре 2009 года был утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630), который вступил в силу 26 марта 2010 года.
Принятие и введение в действие указанного выше Регламента фактически означает готовность государства перейти от нормативного регламентирования вопросов защиты персональных данных к активным «военным» действиям, а именно к проведению проверок в целях выявления нарушений требований действующего законодательства и применения мер ответственности к операторам.
Хранение персональных данных
Другим вопросом, имеющим отношение к документации оператора ПДн, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:
- нормативным правовым актом;
- достижением цели обработки данных;
- решением субъекта.
Наиболее простая ситуация имеет место, в случае если срок хранения установлен в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим срок хранения информации. Например: Перечнем типовых управленческих документов, образующихся в деятельности организаций с указанием сроков хранения, утвержденным руководителем Федеральной архивной службы России 15.08.1988, установлены следующие сроки хранения документов в части расчетов с работниками организации:
- лицевые счета (форма Т-2) — 75 лет;
- расчетные (расчетно-платежные) ведомости — 5 лет;
- книги учета депонированной заработной платы, журналы регистрации исполнительных листов — 5 лет;
- исполнительные листы — до минования надобности; справки, представляемые в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие — до минования надобности;
- договоры, соглашения (хозяйственные, операционные, трудовые и другие) — 5 лет.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Фрагмент журнала ознакомления с Положением о персональных данных
N |
Ф.И.О. работника |
Дата |
Подпись |
1 |
Алексеева Диана Николаевна |
15.08.2011 |
Алексеева |
2 |
... |
... |
... |
6 |
Евстахов Сергей Сергеевич |
03.10.2011 |
Евстахов |
7 |
... |
... |
... |
8 |
... |
... |
... |
9 |
... |
... |
... |
Разграничение доступа
Закон о персональных данных обязывается разграничивать доступ к разным видам ПДн, что делается в целях соблюдения конфиденциальности. Достигается это распределением среди сотрудников прав доступа к определённым группам и категориям ПДн.
За редким исключением (когда используется онлайн-бухгалтерия) бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.
Но работодатель (оператор ПДн) может разрешить доступ к ПДн работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных обязанностей работника. Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (приказ о разграничении доступа), с указанием критериев необходимых персональных данных, аналогичным образом надо поступить и с ПДн клиентов и иных лиц.
К примеру, в медицинской организации доступ к состоянию здоровья пациента у медицинской сестры, сотрудника регистратуры и лечащего врача очевидно должен быть разным. В ИТ-компании дизайнеры не обязательно должны иметь доступ к базе данных (БД) клиентов, которые оставляют заявки на сайте их продукта, или тем более к БД, содержащей сведения о покупателях интернет-магазина, который поддерживает их работодатель для стороннего заказчика.
Одним из основных принципов обработки ПДн является постановка заранее определенных конкретных целей обработки ПДн, что предполагает, что вы не должны собирать их избыточное количество и должны всегда быть готовы предоставить обоснование необходимости их обработки, которое в общем виде должно быть сформировано в Политике обработке ПДн каждого оператора.