Данная инструкция поможет правильно организовать процесс обработки персональных данных в компаниях с незначительным уровнем потенциальных угроз безопасности (таких большинство).

Руководство НЕ ПОДОЙДЁТ для компаний, которые используют в работе сложные программные компоненты, обрабатывают более 100 000 субъектов в информационных системах, где существуют не декларированные возможности для программного обеспечения (например, вероятность программной атаки, взлома, который может скопировать базу данных для использования в корыстных целях).

Оператор персональных данных – тот, КТО получает (собирает) и обрабатывает персональные данные.

Субъект персональных данных – тот, ЧЬИ данные обрабатываются.

Персональные данные (далее – ПД) – любая информация, по которой можно прямо или косвенно идентифицировать человека.

Закон определяет четыре вида персональных данных:

  • Общедоступные: ФИО, возраст, пол, адрес, полис, место рождения и т.п.
  • Специальные: национальность, вера, политические и идеологические убеждения, хронические заболевания и т.д.
  • Биометрические: рост, вес, фото, группа крови, отпечатки пальцев, другие физиологические и биологические особенности человека.
  • Иные: хобби, личная жизнь, любимая еда, домашние питомцы и т.д.

Все эти характеристики составляют портрет человека. Любое их сочетание, является охраняемой законом ФЗ-152 – персональными данными.

Практически в любой сфере бизнеса приходиться сталкиваться с персональными данными. Клиенты, сотрудники, партнеры, пользователи сайта – все они являются субъектами персональных данных.

Формируете клиентскую базу? Размещаете форму обратной связи на сайте? Ведёте личные дела работников? Используете изображения лиц в промо акциях?

ОТВЕТ: «ДА»?

Тогда Вы оператор персональных данных. И несёте бремя административной и уголовной ответственности (статья 137 УК РФ) за нарушение порядка обработки персональной информации согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Какие предусмотрены штрафы за нарушения закона о персональных данных?

КоАП РФ Статья 13.11 определяет административные штрафы:

Основные нарушения – это:

  • отсутствие согласия субъекта на обработку персональных данных — штраф до 75 000 руб.
  • не размещение политики конфиденциальности для ознакомления неограниченного круга лиц — штраф до 35 000 руб.
  • не уведомлен уполномоченный орган (Роскомнадзор) о начале обработки оператором персональных данных — до 5000 руб.
  • произошла утечка данных из-за невыполненных технических и организационно-распорядительных мер — до 50 000 руб.
  • не выполнено требование субъекта персональных данных, уничтожить или обновить данные — штраф до 45 000 руб.
  • использование заграничных серверов для хранения баз данных с персональными данными до 6 000 000 руб., при повторном нарушении до 18 000 000 руб.

Видим, что законодатель определил огромные, по любым меркам, штрафы, в отдельных случаях достигающих 18 000 000 руб.!!!

Какие меры надо предпринять, чтобы избежать проверок и штрафов Роскомнадзора?

ШАГ 1 Уведомление уполномоченного органа – Роскомнадзора

Согласно статьи 22 Закона  ФЗ-152, Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своём намерении осуществлять обработку персональных данных.

Форма уведомления заполняется и передаётся онлайн прямо на официальном сайте https://pd.rkn.gov.ru/operators-registry/notification/form/.

После заполнения и отправки электронной формы, система предложит Вам распечатать бумажный вариант. Этот документ необходимо будет отправить курьерской службой или почтой России в адрес уполномоченного органа https://rkn.gov.ru/about/territorial/.

Обращаем внимание, что дату начала обработки ПД ставьте не текущую, а дату регистрации компании или ИП.

ИСКЛЮЧЕНИЕ 1

Случаи, когда уведомлять Роскомнадзор не требуется:

1. В случаях если возникшие с Субъектом отношения являются трудовыми – когда речь идёт о заключении только трудового договора с работником.
Однако на практике, работодатель, помимо заключения трудового договора, вынужден передавать персональную информацию в банк, реестры, порталы, другим лицам в рабочем порядке. А значит, это исключение сложно применимо.

2. В случае если данные субъекта являются общедоступными – т.е. когда субъект дал разрешение на обнародование своей личной информации посредством СМИ, анкет и т.п.

3. В случае, когда оператор получает только ФИО субъекта.

4. Для однократного пропуска в организацию (въезд на стоянку, проход через турникет в бизнес центр и т.п.).

5. Если данные получены для заключения договора при условии, что не передаются третьим лицам. Здесь всё просто. В договор всегда вписываются данные сторон-участников договора.

Чтобы избавить себя от обязанности обеспечивать конфиденциальность этих данных и остаться в рамках данного исключения, оператор, после исполнения договора, должен уничтожить все данные, которые он получил.

На практике такое встречается крайне редко.

Во-первых, данные могут в процессе работы стать доступными третьим лицам (SEO-шникам, маркетологам, модераторам сайта).

А во-вторых, стоит признаться, что мало, кто удаляет данные партнёров из базы, чтобы никогда больше с ними не связаться. А по логике законодателя, все персональные данные должны быть уничтожены после достижения цели их использования.

Договор выполнили? Всё. Дело сделано. Будьте любезны удалить персональные данные.

6. В случае, если персональные данные включены в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем.

7. В случаях, если персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

ВАЖНО! Данный перечень исключений избавляет оператора от обязанности направлять уведомление в Роскомнадзор, однако не освобождает от исполнения требований закона о персональных данных, в том числе, разрабатывать политику конфиденциальности, получать согласие субъекта персональных данных и т.д.

ИСКЛЮЧЕНИЕ 2

Когда оператор не обязан соблюдать конфиденциальность персональных данных?

В соответствии со статьёй 7 ФЗ-152 оператор должен обеспечивать конфиденциальность персональных данных, но есть исключения:

  • в отношении общедоступных данных – т.е. когда субъект дал разрешение на обнародование своей личной информации посредством СМИ, анкет и т.п.
  • в случае обезличивания персональных данных.

Главная идея обезличивания заключается в том, что даже если злоумышленник получит доступ к персональной информации, то ему будет доступен только фрагмент, без привязки к конкретному субъекту.

Обладая, например, ТОЛЬКО базой диагнозов болезни пациентов или email клиентов, сами по себе эти данные не представляют ценности. Просто масса бесполезной обезличенной информации.

Лишь процесс деобезличивания позволяет определить, к кому из субъектов относится фрагмент персональной информации.

Деобезличиваниепроцесс, в результате которого,  можно определить принадлежность обезличенных данных их субъекту.

Например, есть два разных списка: один с фамилиями, другой с телефонами.

Порядковые номера не соответствуют. То есть, если под номером 15 в списке 1 Петров, то это не значит, что в списке номер 2 под номером 15 обязательно его телефон. Лишь оператор знает правильный алгоритм сопоставления этих данных таким образом, чтобы они стали достоверными и приобрели практический смысл.

Как Вы сами смогли убедиться, все исключения весьма спорные и условные. На наш взгляд, лучше перестраховаться и подготовить прочный минимум организационных и технических мер по защите информации.

Шаг 2 Подготовка документов, определяющих работу с персональными данными

После подготовки уведомления в Роскомнадзор и/или параллельно с этим (порядок не принципиален) можно начинать разрабатывать локальные акты.

Тем не менее, рекомендуем начинать с уведомления, так как в нём содержатся ключевые вопросы, связанные с обработкой персональных данных. Ответы на них, войдут в основу всех остальных документов.

  • Кто обрабатывает?
  • Как обрабатывает?
  • Что обрабатывает?
  • Где обрабатывает?
  • Для каких целей?
  • Как защищает?
  • На какую законодательную базу опирается?

И т.д. Заполнив уведомление в Роскомнадзор с учётом специфики Вашей деятельности, Вам будет гораздо проще подготовить остальные документы.

Документы о персональных данных

Прежде чем мы опишем каждый документ и по возможности снабдим актуальным образцом, следует отметить, что структуру документов о персональных данных оператор формирует самостоятельно. Можно поместить все документы в один или разбить по направлениям, что на наш взгляд предпочтительнее как для оператора, так и для инспектора Роскомнадзора.

Политика в отношении обработки персональных данных (политика конфиденциальности)

Политика обработки персональных данных указывает на общие принципы обработки персональных данных.

Какие именно данные оператор получает от клиентов (пользователей сайта), и для каких целей их использует. На каких условиях и для чего эти данные могут быть переданы третьим лицам.

Политика размещается на официальном сайте компании с возможностью Пользователю поставить отметку об ознакомлении.

Положение об обработке персональных данных – если политика направлена на клиентов компании и посетителей  сайта, то положение о ПД используется для внутреннего контроля и затрагивает непосредственно сотрудников организации.

В Положении отражаются:

  • категории субъектов ПД
  • виды ПД (пол, ФИО, паспорт и т.д.)
  • список ответственных лиц, имеющих доступ к ПД
  • порядок допуска к ПД
  • список информационных систем, в которых обрабатываются ПД (1-С, Контур, Парус)
  • способы защиты ПД (пароли, сейфы, инструктажи, крипто-про, ЭЦП, антивирус, журналы учёта, охрана, видеонаблюдение и мн.др.)

Соглашение о конфиденциальности — соглашение о конфиденциальности следует заключить с ответственным сотрудником/лицом (кадровик, бухгалтер, документовед, HR, аутсорсинговая компания), который имеет доступ к персональным данным и/или занимается их обработкой.

В нём указываются виды ПД, с которыми ответственному сотруднику придётся иметь дело, а также указание на ответственность за разглашение и утечку персональной информации.

Перечень лиц имеющих доступ к ПД – логично включить в состав Положения или отразить в приказе. В случае смены состава ответственных лиц, издается актуальный приказ.

Приказ о назначении ответственных лиц за обработку ПД – можно скачать здесь. Этим же приказом можно ввести в действие Положение и Политику.

Согласие на обработку персональных данных – стандартный и основной документ, который подписывал каждый хотя бы раз в жизни. Согласие подтверждает волю лица предоставить Оператору свою личную информацию в целях достижения значимой для Субъекта цели (банк, больница, страхование, трудоустройство и т.п.).

Согласие на размещение фото и видео материалов лица в интернете, на сайте, на портале, на информационном стенде в рекламных или информационных целях можно скачать ниже:

Модель угроз – это большое и подробное руководство с описанием информационной системы, в которой происходит обработка персональных данных. В нём анализируются виды и уровни угроз, степень защищённости от не декларированных возможностей. Эта мера необходима организациям, которые используют специализированное программное обеспечение для выполнения конкретных производственных и операционных задач.

Напоминаем, что разрабатывать модель угроз и придумывать всяческие методы защиты в обычных условиях и, как правило, не требуется. Это касается сложной и многоуровневой организации рабочих процессов в информационных системах.

Отзыв согласия на обработку персональных данных

Закон о персональных данных также наделяет субъекта правом на отзыв ранее данного согласия на обработку его данных. Правовым последствием отзыва является утрата права оператора на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом о персональных данных основания для обработки таких данных (см. п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных).

Заключение

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите информации возлагается на Оператора.

В то же время не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением.

Представленные в нашем обзоре документы и меры помогут в подготовке Вашей системы защиты. Но помните, что простое копирование информации не обезопасит Ваши персональные данные и не послужит аргументом в диалоге с ревизором.

Вы можете опираться на наши примеры, но итоговый вариант должен отражать особенности именного Вашего бизнеса.

Описание модели угроз, самостоятельное определение уровня защищенности и типа угроз, а также, алгоритм выработки комплекса технических и документальных мер для защиты персональных данных мы рассмотрим в другой статье.

Что ещё необходимо знать о персональных данных

  • Если Вы делегируете обработку персональных данных другому лицу (аутсорсинг, дата центр), то Вы обязательно оформляете Поручение (договор), где перечисляете, что может это лицо делать с персональными данными. Там же указываете обязанность соблюдать конфиденциальность и обеспечивать безопасность.
    Также необходимо получить согласие субъекта персональных данных на передачу и обработку его данных третьему лицу.
  • Персональные данные запрещено хранить на зарубежных серверах (статья 18 152-ФЗ)
  • Если у Вас в телефоне личные данные и фото друзей, родственников, коллег, то Вы не являетесь оператором персональных данных и не нарушаете закон. Вам нечего опасаться.
  • Не стоит объединять в один локальный акт все внутренние документы, касающиеся персональных данных. Положение о персональных данных, политику обработки персональных данных соглашение о конфиденциальности, договор-оферту, пользовательское соглашение, лицензионное соглашение.
  • Когда в бумажном, а когда в электронном виде допускается изъявлять согласие на обработку персональных данных?

Часть 4 статьи 9 Закона «О персональных данных» указывает на предусмотренные законом случаи, когда согласие субъекта на обработку персональных данных может быть дано только в письменной форме или в форме электронного документа, подписанного электронной подписью. К таким случаям относится, в частности, ситуация, когда субъект дает согласие на обработку персональных данных специальной категории (п. 1 ч. 2 ст. 10 — раса, полит. взгляды, интимная жизнь, здоровье, религия и т.п.), либо на обработку биометрических данных (ч. 1 ст. 11 — отпечатки пальцев, фото, радужная оболочка глаза), либо на трансграничную передачу данных (п. 1 ч. 4 ст. 12 — за границу).

В таких случаях дачи согласия в устной форме или в форме проставления «галочки» на интернет-ресурсе при отсутствии свидетельств о наличии электронной подписи будет недостаточно.

Если требуется помощь в организации защиты персональных данных, наш сервис подготовит комплекс документов и мер для правильной и надежной работы Вашей компании в сфере безопасности персональных данных.

Стоимость услуги 15 000 руб. Тел.: +7 (977) 847-67-65   Написать в WhatsApp Написать в Telegram