Политика обработки персональных данных в локальных актах организации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Политика обработки персональных данных в локальных актах организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Кто обеспечивает защиту данных?

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

• паспортные данные;

• точное место жительства;

• мобильный телефон;

• адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

• если им получено согласие на обработку (необязательно письменное);

• планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

• обрабатываются персональные данные своих сотрудников;

• в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

• — на граждан — от 500 до 1 000 руб.;
• — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

• — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
• — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
• — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

1. принцип законности;

2. принцип максимальной дружественности и прозрачности;

3. принцип превентивности;

4. принцип оптимальности и разумной разнородности;

5. принцип адекватности и непрерывности;

6. принцип адаптивности;

7. принцип доказательности и обязательности контроля;

8. принцип самозащиты и конфиденциальности самой системы защиты информации;

9. принцип многоуровневости и равнопрочности;

10. принцип простоты применения и апробированности защиты;

11. принцип преемственности и совершенствования;

12. принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

• Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

• Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

• Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

• Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

• Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

• Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

• Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

• Принцип самозащиты и конфиденциальности самой системы защиты информации.

• Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

• Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

• Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

• Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

Что такое система защиты персональных данных

Базовые требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Оно устанавливает параметры самих систем и определяет необходимые средства и методы обеспечения безопасности персональных сведений, размещенных в информационных базах данных. После изучения этого постановления становится понятно, что системы защиты персональных данных (СЗПД) характеризуются следующими параметрами:

• представляют собой комплекс мер и мероприятий, носящих как организационный, так и технический характер;
• эта совокупность призвана предотвратить нелегитимный доступ к персональным данным;
• система должна быть разработана с учетом актуальности текущих угроз;
• она разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности.

Эта группа действий обычно не представляет трудности для оператора, к ней не предъявляются строгие требования регуляторов. Она не влечет необходимости привлечения лицензированных специалистов. Среди обязательных мероприятий по обеспечению безопасности данных присутствуют:

• направление сообщения в Роскомнадзор о начале занятий соответствующим видом предпринимательской деятельности, предполагающим обработку персональных данных. Сообщение заполняется в форме на сайте ведомства и направляется по почте;
• разработка локальных нормативных актов, опосредующих передачу данных. К этим документам относятся Положение о защите персональных данных, приказ о назначении ответственного за эту деятельность. Подготовить их можно самостоятельно. Утверждает документы руководитель организации, требований по регистрации их в государственных ведомствах не существует;
• разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные. При оформлении пропусков не надо забывать, что даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика;
• разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
• определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
• ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
• разработка системы внутреннего контроля, позволяющей увидеть все моменты нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

Эту систему компания не всегда может разработать самостоятельно, силами ИТ-отдела. Соответствие требованиям по защите персональных данных предполагает разработку, установку и обслуживание сложных программных комплексов, которые решают следующие задачи:

• избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. Для этого применяются межсетевые экраны, различные системы разграничения доступа, используются криптографические и блокировочные средства;
• предотвратить утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации. Для этого применяют генераторы шума, экранированные кабели, высокочастотные фильтры.

Все необходимые средства защиты персональных данных от утечки компания выбирает самостоятельно, предъявляются требования по их возможностям и сертификации, а не по конкретным наименованиям или типам программных продуктов. Расходы на приобретение средств защиты данных компания также несет самостоятельно.

Мероприятия правового характера по защите сведений личного характера

Судебная практика и Роскомнадзор в качестве достаточных мероприятий правового характера считают принятие (утверждение) таких актов, как:

• политика компании в отношении персональных данных. Или иной локальный акт, к примеру, положение о персональных данных. Это акт наиболее общего характера, от получения сведений до их уничтожения. В него же можно включить и защиту сведений. Такой документ обязательно нужно довести до сведения работников. А лучше всего разместить на официальном сайте компании
• приказ о назначении ответственного за обработку данных
• установление порядка доступа к персональным данным, подписание обязательства о неразглашении
• иные локальные документы – журналы учета персональных данных, отдельный приказ о защите персональных данных и т.п.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
• Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
• Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
• Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Похожие записи:

• Особенности примирения по отдельным категориям дел
• Автотехническая экспертиза в Перми
• Выплаты и пособия на ребенка в Забайкальском крае и Чите в 2023 году