Мы на Workspace
Наверх
8(863)300-1000
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
401

Защита персональных данных: все, что нужно знать

Содержание

По закону 152-ФЗ, каждая компания обязана защищать персональные данные своих сотрудников и клиентов, а также хранить и обрабатывать их по определенным правилам. В этой статье мы расскажем о том, что такое персональные данные, какие они бывают, как происходит их обработка и что нужно сделать, чтобы не нарушать закон.

Что такое персональные данные

Персональные данные – это любая информация, которая может быть связана с конкретным человеком. Это могут быть ФИО, номер телефона, e-mail, адрес, фотография, паспортные данные – все это примеры персональных данных.

Главное, чтобы эти данные могли быть привязаны к конкретному человеку. Например, случайный e-mail или номер телефона не являются персональными данными, потому что не ясно, чьи они. Но если в базе данных компании есть ФИО клиента, его e-mail и телефон, то они уже становятся персональными данными – очевидно, кому они принадлежат.

Аналогичная ситуация с опросами. Если вы анонимно опрашиваете людей о семейном положении, то не собираете персональные данные. Но если при этом указываются ФИО, номер телефона и семейное положение – все это уже будет считаться персональными данными по закону.

Примеры:

Не персональные данные Персональные данные
maria1000@mail.ru Иванова Мария Ивановна, e-mail: maria1000@mail.ru
35% опрошенных состоят в браке Иванова Мария Ивановна замужем

Конкретного перечня персональных данных не существует. Как правило, чтобы данные считались персональными, их нужно связать с какой-то личной информацией, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В правительственном Постановлении №1119 указаны четыре категории персональных данных: общие (или общедоступные), специальные, биометрические и другие.

Общие персональные данные

К этой категории относятся базовые сведения о человеке, такие как ФИО, место регистрации, место работы, номер телефона и e-mail. Эти данные часто находятся в открытом доступе, их могут знать знакомые, коллеги или даже посторонние люди, если информация опубликована, например, в социальных сетях.

Специальные персональные данные

Здесь уже речь идет о более личной информации. Это расовая и национальная принадлежность, политические и религиозные взгляды, состояние здоровья, информация о судимостях или интимной жизни. Эти данные не раскрываются просто так, их можно узнать лишь при определенных обстоятельствах, например, запросив их в больнице, полиции или суде. Как правило, человек сам решает, кому и что рассказывать из этой категории данных.

Биометрические персональные данные

Сюда входят физиологические или биологические особенности человека, которые помогают его идентифицировать: фотографии, отпечатки пальцев, группа крови, генетическая информация. Но важно помнить, что эти данные становятся биометрическими только тогда, когда вы используете их именно для распознавания личности.

Например, если на входе в здание стоит камера с функцией распознавания лиц, фотографии сотрудников будут считаться биометрическими данными, так как по ним происходит идентификация. Если же фотография просто прикреплена к личному делу сотрудника, но не используется для распознавания, то такие данные не считаются биометрическими – это просто дополнение к уже имеющейся информации.

Другие персональные данные

В эту категорию попадает все, что не относится к общедоступным, специальным или биометрическим данным. Например, сюда можно отнести принадлежность к определенной социальной группе, как членство в клубе, или корпоративную информацию, такую как зарплата, периоды отпусков, стаж работы и прочие данные, хранящиеся в бухгалтерии.

Отличить такие данные от специальных бывает непросто, но разница есть:

  • Специальные данные описывают личность и, как правило, самому человеку важно, чтобы они не стали известны посторонним.
  • Иные данные – это дополнительная информация, которая часто может изменяться и не так сильно влияет на личную жизнь.

Кто такие оператор и субъект персональных данных

Закон о защите персональных данных упоминает две ключевые фигуры – оператора и субъекта ПДн.

Оператор ПДн – это компания, которая занимается сбором, хранением, обработкой и распространением персональных данных. Чтобы понять, является ли компания оператором, нужно знать, что такое хранение и обработка данных:

  • Хранение: по закону 152-ФЗ, это когда данные находятся у вас, например, на сервере или в облаке. Даже если данные на бумаге и хранятся в архиве, это тоже считается хранением.
  • Обработка – это любые действия с данными – запись, извлечение, анализ, изменение, передача, и даже удаление. Если вы просто собираете данные, то уже их обрабатываете.
  • Субъект ПДн – это человек, чьи персональные данные попали к оператору. Например, вы заполнили анкету в магазине для получения бонусной карты. Теперь вы стали субъектом ПДн, а магазин стал оператором ваших данных.

В компаниях данные разных категорий субъектов обрабатываются по-разному. Например, доступ к данным сотрудников имеют одни сотрудники, а к данным клиентов – другие. Поэтому при создании правил работы с персональными данными внутри компании субъектов делят на разные типы: сотрудники, клиенты, стажеры, представители клиентов и даже родственники сотрудников.

Обязательное и добровольное предоставление данных

Когда речь идет о предоставлении персональных данных, оно может быть как обязательным, так и добровольным. Обязательное предоставление данных регулируется федеральными законами, такими как ФЗ №27-ФЗ от 01.04.1996 «Об индивидуальном учете в системе обязательного пенсионного страхования».

Такие данные могут требоваться для защиты основ конституционного строя, нравственности, здоровья, прав и интересов других людей, а также для обеспечения обороны страны и безопасности государства (перечень этих случаев указан в п. 2 ст. 9 ФЗ «О персональных данных»).

Обработка персональных данных без согласия субъекта может осуществляться, если это нужно для выполнения договора, в котором он участвует, или, например, для доставки почтовых отправлений. Полный список исключений приведен в п. 2 ст. 6 ФЗ №152.

Также нет необходимости соблюдать конфиденциальность в отношении данных, которые находятся в открытом доступе.

Виды защиты персональных данных

Любая компания, в соответствии с законом №152-ФЗ «О персональных данных» от 27.07.2006, обязана защищать персональные данные. Хотя перечень мер по защите каждая организация может определить самостоятельно, есть несколько ключевых направлений, на которые стоит обратить внимание.

Внутренние меры защиты включают:

  • Ограничение доступа. Не всем сотрудникам нужен доступ к персональным данным. Сюда должны входить только те, кто непосредственно с ними работает: сотрудники кадровых служб, бухгалтерии, юристы, программисты и так далее. Важно четко регламентировать, кто и к какой информации имеет доступ.
  • Ответственный за защиту данных. Назначьте человека, который будет следить за тем, чтобы организация соблюдала законодательство в области персональных данных.
  • Документы и правила. Утвердите перечень документов, содержащих персональные данные, а также внутренние правила по их защите. Это могут быть инструкции по работе с данными, которые сотрудники должны соблюдать.
  • Обучение и контроль. Обязательно ознакомьте всех сотрудников с правилами защиты данных и периодически проверяйте их знания. Это особенно важно для тех, кто непосредственно обрабатывает персональные данные.
  • Организация рабочих мест. Рабочие места нужно располагать так, чтобы исключить несанкционированный доступ к защищаемой информации.
  • Контроль доступа. Установите список лиц, которые имеют право доступа в помещения, где хранятся персональные данные.
  • Уничтожение данных. Определите порядок уничтожения данных, когда они больше не нужны.
  • Профилактика утечек. Проводите профилактическую работу с сотрудниками, чтобы предотвратить случайное разглашение данных.

К мерам внешней защиты данных относятся:

  • Пропускной режим. Введите пропускной режим для контроля входа и выхода посетителей.
  • Техническая защита. Используйте технические и программные средства для защиты данных на электронных носителях, например, системы шифрования или антивирусные программы.

Эти меры помогут вашей компании не только соответствовать требованиям закона, но и обеспечить безопасность персональных данных ваших сотрудников и клиентов.

Хотя закон не требует наличия конкретного количества или содержания локальных актов по обработке и защите персональных данных в компании, на практике сложился определенный перечень документов, которые стоит разработать.

Вот минимальный набор документов, который рекомендуется иметь:

  • Политика компании по обработке персональных данных. Это основной документ, который описывает, как фирма работает с персональными данными. Например, это может быть положение о персональных данных.
  • Список лиц, обрабатывающих персональные данные. В этом списке указаны все сотрудники, которые имеют доступ к данным и занимаются их обработкой.
  • Приказ о назначении ответственного за персональные данные. Назначьте сотрудника, который будет контролировать соблюдение законов о персональных данных внутри компании. Этот человек также должен доносить до сотрудников информацию о законодательстве и правилах работы с данными, организовывать прием и обработку запросов от субъектов персональных данных.
  • Положение о мерах защиты персональных данных. Этот документ описывает, как в компании данные защищаются от несанкционированного доступа, изменения или уничтожения. Здесь можно прописать конкретные меры, такие как введение пропускного режима, использование паролей и антивирусных программ, хранение данных в отдельных помещениях с ограниченным доступом и т.д.
  • Акты и инструкции по предотвращению нарушений. Это могут быть инструкции по выявлению и устранению последствий нарушений в сфере защиты данных, план мероприятий по внутреннему контролю, журнал антивирусных проверок, а также журнал обучения сотрудников по вопросам защиты данных.

Разработка этих документов поможет компании не только соответствовать требованиям законодательства, но и обеспечить эффективную защиту персональных данных.

Организационные и технические меры для защиты персональных данных

Чтобы надежно защитить персональные данные, стоит уделить внимание не только правовым, но и организационным и техническим мерам. Вот несколько рекомендаций, как это можно сделать:

  • Хотя законодательством конкретные требования к помещениям для хранения персональных данных не прописаны, важно обеспечить защиту от несанкционированного доступа. Например, для документов на бумажных носителях лучше оборудовать помещения запирающимися шкафами. В локальных актах компании стоит прописать требования к таким помещениям и утвердить список сотрудников, которые могут туда заходить.
  • Если в компании используются электронные системы защиты данных и их обработки, необходимо соблюдать требования по безопасности, указанные в положении об обеспечении безопасности персональных данных в информационных системах. Например, можно установить пароли для ограниченного доступа к данным. Хорошей практикой будет двухуровневая защита: пароль на уровне локальной сети и отдельный пароль для доступа к базе данных. Пароли нужно регулярно обновлять, например, раз в месяц.
  • Для поддержания конфиденциальности важно вести журнал, в котором фиксируется, кто, когда и зачем получал доступ к персональным данным. В журнале следует отмечать все запросы, фиксировать, кому передавалась информация, дату передачи, и какие именно данные были предоставлены.

Эти меры помогут вашей компании поддерживать высокий уровень защиты персональных данных и минимизировать риски утечек информации.

Как понять, что ваша компания является оператором данных

Если ваша компания, скажем, передает данные сотрудника в банк для оформления зарплатной карты, то она уже является оператором персональных данных. Если у вас есть клиенты – физические лица, то фирма тоже считается оператором. А если организация передает персональные данные в другие компании или лицам, то это тоже делает ее оператором.

Согласно статье 22 Федерального закона «О персональных данных», операторы обязаны до начала обработки данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении заниматься такой деятельностью. Это уведомление можно отправить письменно, с подписью уполномоченного лица, или в электронном виде с электронной цифровой подписью. Также операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора и указать цель обработки данных.

Эти цели могут быть разными, например: учет сотрудников по трудовому договору, подбор кадров, поддержка иностранных сотрудников, продвижение товаров, продажа рекламных мест, возврат утерянных паспортов, учет обращений в медкабинет, организация пропускного режима или автоматизация обмена почтовыми сообщениями.

Когда можно обрабатывать персональные данные без уведомления Роскомнадзора

Есть определенные случаи, когда работодатель имеет право обрабатывать персональные данные сотрудников без необходимости уведомлять об этом Роскомнадзор. Эти ситуации перечислены в ч. 2 ст. 22 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006.

Основное условие: обработка данных должна соответствовать трудовому законодательству. Например, вы можете обрабатывать персональные данные сотрудников для соблюдения законов и нормативных актов, помощи в трудоустройстве, обучении или карьерном продвижении, а также для обеспечения личной безопасности работников и сохранности имущества компании. Кроме того, обработка может быть необходима для контроля качества работы, что предусмотрено ст. 86 ТК РФ.

Таким образом, если данные сотрудников обрабатываются в рамках трудового законодательства, уведомлять Роскомнадзор об этом не нужно.

Однако, если ваш план выходит за рамки трудового законодательства, например, вы собираетесь выплачивать зарплату через банковскую карту в рамках совместного с банком проекта или хотите оформить работнику добровольное медицинское страхование, то здесь уже придется отправить уведомление в Роскомнадзор по установленной форме.

Как долго стоит хранить персональные данные

Конфиденциальность персональных данных теряет силу, когда данные обезличены или когда истекает срок их хранения, установленный законом. Например, стандартный срок хранения – 75 лет, если законом не предусмотрено иное.

Согласно закону ФЗ-152, персональные данные должны быть уничтожены, как только цель их обработки достигнута. Однако первичные документы, связанные с кадровым учетом и заработной платой, нужно хранить целых 75 лет. Эти документы передаются в архив, и после этого организация уже не имеет права хранить их у себя, так как на архивное хранение закон ФЗ-152 не распространяется.

Больничные листы – это немного другая история. Например, если сотрудник уволился, не успел устроиться на новую работу и заболел, его больничный будет рассчитан на основе доходов с последнего места работы. Организация обязана хранить финансовые документы, включая больничные, в течение пяти лет для возможных налоговых проверок.

Отсчет срока хранения начинается с начала нового финансового года или с даты передачи документов в архив, что обычно происходит в конце года. Интересно, что до передачи в архив документы можно хранить в организации до пяти лет.

Постановление Правительства РФ №1119: что изменилось

Ранее действовавшее постановление №781 утратило силу, и теперь в новом постановлении №1119 объединены два проекта, касающихся защиты персональных данных. Один из них устанавливает уровни защищенности информации, а другой – требования к безопасности данных.

По сути, изменений немного. Все те же требования по оценке соответствия, электронные журналы, списки допущенных лиц и режимы безопасности в помещениях. Постановление также указывает, что оператор должен сам выбирать средства защиты, опираясь на требования ФСТЭК по защите персональных данных.

Документ подчеркивает, что основные угрозы безопасности данных связаны с несанкционированным доступом, который может привести к уничтожению, изменению, блокировке или передаче данных третьим лицам. Установлены три типа угроз информационным системам и четыре уровня их защищенности.

Особое внимание в пункте 13 постановления уделяется тому, что в помещениях, где обрабатываются персональные данные, должен быть обеспечен минимальный уровень защищенности. Это делает практически невозможным использование мобильных устройств для обработки данных за пределами защищенных помещений. Таким образом, использование планшетов и смартфонов сотрудниками ГИБДД, таможенниками или врачами вне их офисов может быть неправомерным.

Теперь классификация угроз проводится самостоятельно, и уровень защищенности устанавливается исходя из этой оценки. Для достижения нужного уровня защиты необходимо внедрить ряд организационных и технических мер, ориентируясь на рекомендации ФСБ и ФСТЭК.

Хотите узнать больше подробностей о защите персональных данных?
Запишитесь на бесплатную консультацию, и наши эксперты ответят на ваши вопросы

Получить консультацию
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Все по закону: как компании избежать штрафов?

Межсетевые экраны: защита от хакеров

Аттестация информационных систем персональных данных

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 430 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2024 ГЭНДАЛЬФ