Обработка персональных данных в организации пошаговая инструкция

Чтобы обеспечить надлежащую обработку персональных данных и придерживаться нормативных требований, крайне важно хорошо разбираться в новейшей правовой базе.

Итак, в 2024 году каждая организация обязана:

• cоздать систему обработки, записи и хранения персональных данных в соответствии с последними требованиями законодательства.
• обеспечить соблюдение политик, регулирующих обработку персональных данных
• разработать необходимую документацию для процессов обработки персональных данных организации, охватывающую обработку, запись и хранение, в соответствии с обновленными требованиями Роскомнадзора и Закона № 152-ФЗ “О персональных данных”.
• своевременно представлять отчеты в Роскомнадзор.

Ответственность за обработку персональных данных, как внутри компании (сотрудники), так и за ее пределами (клиенты, пациенты, гости, участники мероприятий, партнеры и т.д.), в настоящее время является неотъемлемым аспектом обязательств каждого юридического лица.

Руководители должны осознавать, что управление обработкой, записью и хранением персональных данных взаимосвязано с различными рабочими задачами, включая управление персоналом, бухгалтерский учет, соблюдение законодательства и другие обязанности. Нарушения законодательства о персональных данных могут повлечь за собой штрафы в размере от 300 000 до 18 миллионов рублей.

Ответственность и штрафные санкции за нарушение правил обработки персональных данных

Штрафы за нарушения при обработке персональных данных изложены в статье 13.11 Административного кодекса. Недавно были ужесточены санкции за ненадлежащую обработку с введением новых штрафов и правил защиты. Эти изменения направлены на защиту частной жизни граждан и повышение ответственности организаций, получающих доступ к личной информации.

Например, с марта 2023 года были уточнены руководящие принципы уничтожения персональных данных. Штрафы за несоблюдение требований для индивидуальных предпринимателей составляют от 20 000 до 40 000 рублей, в то время как юридическим лицам могут грозить штрафы от 50 000 до 90 000 рублей. Учитывая динамичный характер законодательства о персональных данных, быть в курсе всех нововведений может быть непросто даже для штатных юристов.

Ответственность за нарушение законодательства о персональных данных изложена в статье 13.11 Кодекса об административных правонарушениях. Каждая компания, без исключения, получает и обрабатывает персональные данные, и этот процесс начинается еще до найма нового сотрудника, на этапе подбора персонала. Давайте рассмотрим, как организовать работу внутри предприятия, чтобы обойти санкции Роскомнадзора. Понимание термина “персональные данные” и понимание того, когда работодатель “обрабатывает” их, имеет решающее значение.

Компания размещает онлайн-объявление о приеме на работу, предлагая потенциальным кандидатам отправить резюме, сопроводительные письма и контактную информацию. С этого момента работодатель берет на себя ответственность за сохранность личной информации. Персональные данные включают в себя любую информацию о физическом лице, прямо или косвенно связанную с ними (статья 3 Закона № 152-ФЗ от 27.07.2006), и позволяет идентифицировать личность.

Для трудоустройства обычно требуются помимо стандартных реквизитов (полное имя, дата и место рождения, адрес регистрации) данные, включающие:

• номера СНИЛС,
• ИНН;
• паспортные данные;
• семейное положение, количество детей;
• информацию об образовании и квалификации;
• данные военного билета;
• информацию о доходах и имущественном положении;
• биометрические данные.

В судебной практике встречается отнесение к персональным данным и другой информации. Например, адрес электронной почты, номер мобильного телефона, информация о смерти гражданина и фотографии.

Защита персональных данных: пошаговые инструкции

Закон № 152-ФЗ обязывает работодателей предотвращать утечку личной информации, полученной во время работы.

Вот пошаговое руководство о том, как реализовать это на практике:

Шаг 1. Разработайте и утвердите местную политику в области обработки персональных данных.

Отсутствие политики в отношении обработки персональных данных сотрудников является основанием для привлечения компании к ответственности по статье 5.27 Административного кодекса. Непредоставление необходимой документации во время проверки Роструда может привести к штрафам в размере от 30 000 до 50 000 рублей.

В политике должны быть изложены:

• правила обработки, хранения и использования персональных данных физических лиц;
• перечень документов, содержащих персональные данные и, следовательно, требующих защиты;
• процедуры передачи перепроверенных данных внутри организации и третьим лицам;
• список лиц, имеющих доступ к персональной информации сотрудников;
• ответственность за нарушения правил, регулирующих обработку персональных данных, включая дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.

Шаг 2. Издайте приказ о назначении ответственного лица за сбор и обработку персональных данных.

Руководитель организации должен выбрать сотрудника, который возьмет на себя ответственность за надзор за управлением персональными данными (ПДН) внутри предприятия, как это предусмотрено частью 1 статьи 18.1 и частью 1 статьи 22.1 Закона № 152-ФЗ. Как правило, эта ответственность ложится на кого-то из высшего руководства, например, на начальника кадровой службы, начальника отдела безопасности или заместителя генерального директора. Кроме того, руководитель ИТ-отдела может быть назначен для управления обработкой данных в автоматизированных системах управления и контроля доступа.

Шаг 3. Определите группу лиц, имеющих доступ к персональным данным.

Определенный персонал регулярно занимается обработкой персональных данных во время выполнения своих обязанностей, включая специалистов по персоналу, которые взаимодействуют с соискателями, управляют регистрациями и сканируют личные документы в процессе найма. Доступ таким лицам должен быть предоставлен, и условия их полномочий должны быть четко определены (пункт 6 статьи 88 Трудового кодекса). Важно предоставлять различные уровни доступа в зависимости от должности и должностных обязанностей. Например, секретарь может использовать паспортные данные для покупки билетов, в то время как бухгалтер оформляет больничный лист, а руководители отделов могут получать доступ только к информации о своих подчиненных. Работодатель должен обеспечить обязательство о неразглашении от каждого члена команды, получившего доступ к персональным данным. В этом одностороннем документе указано, что физическое лицо (секретарь, главный бухгалтер, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам и не использовать личную информацию коллег в личных целях. В нем также записано, что физическое лицо было предупреждено об ответственности в соответствии со статьей 90 Трудового кодекса.

Шаг 4. Обеспечьте безопасное хранение персональных данных.

Способ хранения зависит от того, как обрабатываются данные. В полностью автоматизированной системе меры безопасности должны соответствовать приказу ФСТЭК № 21 от 18.02.2013 г., включая:

• ограничение доступа к электронным базам данных и индивидуальной информации для различных категорий сотрудников.
• внедрение двухуровневой схемы паролей на уровне локальной сети и базы данных.
• периодическую смену паролей, обычно раз в месяц.
• предоставление ключей исключительно авторизованному персоналу.

Для неавтоматизированной обработки, когда персональные данные хранятся на бумажных носителях, работодатель должен:

• определить места хранения физических носителей и обеспечить персонализированный доступ.
• составить список лиц, которым разрешен доступ к хранилищу.
• при необходимости оборудовать помещения системами видеонаблюдения и сигнализации.

Документы, требующие защиты, включают личные карточки, анкеты для собеседования с кандидатами, копии паспортов, информацию об опыте работы и предыдущих местах работы, бумажные трудовые книжки, свидетельства о браке и рождении ребенка, документы о воинском учете, справки о доходах и сумме налогов, документы об образовании и квалификации, копии СНИЛС, трудовые договоры, дополнительные соглашения, приказы и их копии, а также локальные акты, уточняющие персональные данные о конкретных сотрудниках.

Шаг 5. Получите согласие сотрудника на обработку персональных данных.

Хотя получение информации из документов сотрудника (паспорт, трудовая книжка, военный билет, диплом, СНИЛС) или резюме, а также на основании обязательных медицинских осмотров не требует согласия сотрудника, многие компании предпочитают получать ее при приеме на работу в качестве меры предосторожности для защиты от штрафов. С 2021 года для раскрытия перепроверенных данных неопределенной аудитории требуется еще один документ – согласие на распространение ПДН. Сценарии распространения могут включать публикацию информации об образовании и опыте работы специалиста на корпоративном веб-сайте, в журналах или газетах, на рекламных буклетах, визитных карточках и т.д.

Шаг 6. Отправьте уведомление в Роскомнадзор.

Сбор и обработка информации клиентов не могут вестись спонтанно. Еще до старта отправляется уведомление в Роскомнадзор, поэтому после разработки необходимой документации и проведения организационных и технических мероприятий, нужно отправить уведомление в РКН. В Роскомнадзоре доступна специальная форма уведомления для компаний, обрабатывающих персональную информацию. Отправка уведомлений возможна тремя способами:

• в местное отделение Роскомнадзора отправляется заполненный и распечатанный бланк;
• документ заполняется, подписывается и отправляется непосредственно на сайте Роскомнадзора;
• форма отчетности заполняется и отправляется ведомству на «Госуслугах». Формат доступен компаниям с утвержденной записью.

При желании подавать уведомления от имени компании на портале «Госуслуг» необходимо привязать учетную запись к организации.

Сведения по конкретному ОПД вносятся регулятором в реестр в течение 30 дней с момента отправки уведомления. Если в процессе отправки данных появятся изменения, необходимо будет передать информацию в Роскомнадзор. Уведомление передается и когда компания перестает собирать и обрабатывать личную информацию.

Изменения в работе с персональными данными в 2024 году

Подготовьте проект положения о персональных данных, включающий все поправки к Трудовому кодексу Российской Федерации. Загрузите образец 2024 года и убедитесь, что ваш документ соответствует последним изменениям законодательства. Организуйте процедуры обработки персональных данных в соответствии с обновленным законодательством, начиная с утверждения необходимых внутренних документов, включая положение о персональных данных. Важно отметить, что с 1 сентября компании обязаны уведомлять Роскомнадзор о планах по обработке персональных данных. Сюда входит информация о сотрудниках, гражданах, сообщающих только свою фамилию, имя и отчество, гражданах для разового прохода в помещения компании и физических лицах-подрядчиках для исполнения контрактов. До сентября информирование Роскомнадзора об обработке персональных данных сотрудников, посетителей и подрядчиков было необязательным (подпункты 1-6 пункта 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ, до внесения изменений). Теперь освобождение от уведомления Роскомнадзора применимо только к неавтоматизированной обработке персональных данных (подпункт 8 пункта 2 статьи 22 Закона № 152-ФЗ).

Положение о персональных данных в 2024 году

Разработка положения о персональных данных имеет решающее значение, поскольку оно служит корпоративным документом, описывающим процедуры обработки персональных данных физических лиц внутри организации. Компания получает различные данные о физических лицах: сотрудники предоставляют данные на этапе собеседования, клиенты предоставляют данные для заключения контрактов и предоставления услуг, а пользователи веб-сайта регистрируются, предоставляя свои данные. Будьте осторожны с персональными данными сотрудников, чтобы избежать возможных штрафов, поскольку некоторая полученная информация защищена законом. Компания собирает, записывает и накапливает информацию с последующей систематизацией и обновлением для обеспечения актуальности. Информация хранится для извлечения, использования или передачи третьим лицам. Когда необходимость в данных отпадает, они обезличиваются или уничтожаются в соответствии с конкретными процедурами, подробно описанными в положении о персональных данных.

Изменения в защите персональных данных: 2024 год

С 1 марта 2024 года вступает в силу пересмотренная редакция Закона № 152-ФЗ от 27.07.2006, вводящая новую форму обработки — распространение персональных данных. Если ваша организация планирует распространять данные, убедитесь, что в вашем регламенте предусмотрены соответствующие условия. Распространение предполагает предоставление информации широкой аудитории и требует индивидуального согласия. Это отличается от передачи, которая предполагает предоставление данных конкретным лицам. Избегайте путаницы и придерживайтесь новых правил, чтобы предотвратить осложнения, связанные с этим новым типом обработки данных.

Новый протокол обработки данных: распространение и согласие

Новая форма обработки данных, известная как распространение, предполагает предоставление информации широкой аудитории, что требует отдельного согласия отдельных лиц. Важно не смешивать передачу с распространением. Передача предполагает предоставление данных конкретным лицам, тип обработки, существовавший в законе ранее. Распространение, с другой стороны, влечет за собой публикацию данных в открытых источниках, доступных неопределенной аудитории, например, демонстрацию данных о сотрудниках в разделе “Наши сотрудники” на веб-сайте компании или размещение информации о физическом лице в печатных изданиях или средствах массовой информации.

Новое согласие на распространение

Для распространения данных требуется пересмотренная форма согласия. Согласие должно включать полное имя и контактную информацию физического лица, название и адрес оператора данных (компании, получающей согласие), цель обработки данных, список данных, разрешенных к распространению, условия и ограничения распространения, срок действия согласия и информацию о компании, получающей согласие. платформа, через которую будет осуществляться распространение.

Запрет на распространение общедоступных данных

Начиная с марта 2024 года, персональные данные, полученные из общедоступных источников, не могут распространяться без письменного согласия. Этот запрет распространяется на перепечатку данных, даже если физическое лицо первоначально поделилось ими в социальных сетях.

Публикация информации о согласии

Операторы обязаны публиковать информацию о полученных согласиях на распространение данных и связанных с ними запретах в течение трех дней. Закон не определяет точную платформу для публикации. Можно публиковать и на том же ресурсе, через который распространяете данные.

Как разработать Положение о персональных данных в 2024 году

В каждой организации должно быть положение о персональных данных, что является требованием статьи 87 Трудового кодекса Российской Федерации. Условия обработки данных регулируются Законом № 152-ФЗ от 27.07.2006, а также нормами Трудового и Гражданского кодексов, а также Кодекса об административных правонарушениях. Хотя утвержденной стандартной формы для предоставления персональных данных не существует, эксперты рекомендуют структурировать текст по определенным разделам.

Специалисты компании «EFSOL» являются экспертами в вопросах разработки документов о персональных данных, знают все о том как собирать, хранить персональные данные, могут надежно сопроводить Вас в щепетильном вопросе персональных данных.

Если Вам необходимо зарегистрировать производственный кооператив, пишите нам в EFSOL бот ЗАКАЗАТЬ или ОФОРМИТЕ ЗАЯВКУ НА САЙТЕ

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Что говорит законодательство о защите персональных данных?

Операторы, обрабатывающие персональные данные, несут ответственность за защиту данных о физическом лице. Статья 7 посвящена конфиденциальности персональных данных. Согласно закону, операторы не имеют права передавать третьим лицам или разглашать личные данные субъекта без его согласия.

Штрафы за нарушение закона о персональной информации

Рекомендации Роскомнадзора по обеспечению защиты личной информации

Как компании обеспечить защиту персональных данных?

Также запрашивается и другой документ — согласие на распространение персональных данных (подробнее смотрите в разделе «Распространение персональных данных: новые законодательные нормы»). Например, при публикации информации об опыте и образовании сотрудника в рекламных материалах.

Распространение персональных данных: новые законодательные нормы

Обратите внимание! Оператор обязан опубликовать информацию о полученных от физических лиц согласиях в течение трех дней. В законе нет четкого указания, где нужно обнародовать данные, так что сделать это можно на той же платформе, где и распространяется персональная информация.

Разработка Положения о персональных данных

Передача данных третьим лицам

Основное отличие данного договора в том, что вторая сторона несет ответственость после передачи персональной информации. Таким образом вина за утечки и другие случаи невыполнения законодательных требований лежит на той стороне, чьи действия привели к нарушению обработки данных.

Уведомление об утечке персональной информации

Кроме того, в Государственной Думе обсуждается законопроект, предусматривающий введение повторных штрафов за нарушения, связанные с утечками данных.

Как безопасно работать с персональными данными?