Новости Цели обработки персональных данных в организации: ключевые аспекты и преимущества
Роскомнадзор разработал Рекомендации по структуре и содержанию Политики по обработке персональных данных (сокращенно – Политика). Приведенная Политика не обязательна, буквально составлять и исполнять ее по образцу на сайте, не нужно. Документ носит рекомендательный характер и призван выработать унифицированный подход к его форме.
Он поможет вам сформировать структуру Политики, определить ее общее содержание, дополнить его согласно потребностям и особенностям вашей компании и при необходимости – актуализировать.
Мы ознакомились с Рекомендациями Роскомнадзора, проанализировали их и подготовили для вас в статье инструкцию для разработки вашей собственной Политики в отношении персональных данных.
ИНТЕРЕСНЫЕ СТАТЬИ
Что важно знать каждой компании об информационной безопасности при обработке персональных данных?
НАШИ КЕЙСЫ
Аудит персональных данных спас руководителя от тюрьмы и дисквалификации
- Политика обработки персональных данных – что это за документ
- Ответственность за отсутствие политики обработки персональных данных
Политика обработки персональных данных – что это за документ
Политика персональных данных – это обязательный документ для каждого работодателя, который является оператором персданных. Его принимают с целью обеспечить законность, конфиденциальность и безопасность при обработке персональных данных работников и третьих лиц (ст. 18.
1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ).
Унифицированной формы у Политики нет. Роскомнадзор разработал Рекомендации по ее составлению. Однако следует учесть, что ведомство предостерегает компании от принятия этого документа по единому образцу, поскольку он должен отражать специфику деятельности каждой отдельной организации и составляться под ее потребности, особенности и цели.
ВЫПИСКА
Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют сбор и обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (ст. 3 Закона № 152-ФЗ)
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), которые совершаются с использованием средств автоматизации (или без них) с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (ст. 3 Закона № № 152-ФЗ)
ВАЖНО!
Не путайте Политику в области обработки персданных с иными локальными актами (Регламентом допуска, Правилами по их защите, согласиями и др.). Они тоже обязательны в компании, но устанавливают частный и непосредственный порядок получения, обработки, распространения, хранения, защиты персданных и доступа к ним. Политика же – общий документ, который определяет концептуальные основы при работе с персданными
РЕКОМЕНДАЦИЯ
В Политике обязательно укажите субъекты обработки персональных данных. Субъект персональных данных – это работники, бывшие сотрудники, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физические лица) и их представители. Для каждой категории субъектов опишите свои цели и перечислите все персональные данные, которые вы обрабатываете.
Помните, что нельзя обрабатывать персданные с не корректными целями их обработки или вовсе без указания целей (ст. 5 Закона № 152-ФЗ
ПРОВЕДИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Аудит персональных данных, в том числе и проверку Политики, можно провести собственными силами, а также – с помощью профессионалов с большим опытом проведения аудитов и экспертизой в области персональных данных. Для этого нужно изучить перечень нормативных актов, составить списки внутренних документов для проверки с описанием алгоритмов ее проведения и оформить кадровых документы (ст. 18.1 Закона № 152-ФЗ)
Скачайте нашу презентацию по аудиту персональных данных внизу статьи и задайте нам дополнительные вопросы!
к содержанию ↑Ответственность за отсутствие политики обработки персональных данных
Политика в отношении персональных данных должна быть не просто разработана и утверждена в вашей компании, но и размещена общедоступным способом: например, вывешена на информационном стенде или опубликована на сайте (ст. 18.1 № 152-ФЗ). Иначе оператор рискует быть привлеченным к ответственности по части 3 статьи 13.11 КоАП РФ.
ОБРАТИТЕ ВНИМАНИЕ!
Политику разрабатывают по распоряжению уполномоченного лица (чаще всего руководителя). Утверждают ее также либо по приказу с проставлением грифа «УТВЕРЖДЕНЫ» и его реквизитов, либо путем проставления грифа «УТВЕРЖДАЮ» с указанием должности, подписи, расшифровки уполномоченного лица и даты (ГОСТ Р 7.0.97-2016)
Штрафы за отсутствие Политики в общедоступном месте
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, или сведениям о реализуемых требованиях к их защите
от 30000 до 60000 рублей;
от 10000 до 20000 рублей;
— для должностного лица:
от 6000 до 12000 рублей;
от 1500 до 3000 рублей.
ч. 3 ст. 13.11 КоАП РФ
Помимо уплаты административных штрафов, у работодателя возникает риск привлечь внимание к своей компании при проведении инспекционного мониторинга. Кроме того, в таком случае возможна внеплановая проверка по решению Роскомнадзора.
Заказать аудит персональных данных
Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
к содержанию ↑Персональные данные: как правильно организовать обработку и избежать нарушений
Персональные данные (ПДн) — это любые сведения, которые прямо или косвенно относятся к конкретному физическому лицу. В практике компаний это прежде всего данные о сотрудниках и клиентах (заказчиках, покупателях). Рассказываем, как правильно выстроить работу с персональными данными, обеспечить их безопасность и избежать штрафных санкций за нарушения требований в этой сфере.
Елена Ефимова28 Апреля 2022ЮристПодключитьсяЧтобы подключиться к услуге защиты каналов связи, заполните заявку
Всё чаще персональные данные обрабатываются с помощью средств автоматизации, то есть собираются, хранятся, обновляются и применяются. посредством использования электронных сервисов и систем. Таким образом, перед компаниями стоит задача не только соблюдения нормативных требований о получении и обработке персональных данных, но и обеспечения их безопасности и защиты, в том числе на уровне информационных систем персональных данных.
Все юридические лица и индивидуальные предприниматели обязаны соблюдать требования закона «О персональных данных» (№ 152-ФЗ от 27.07.2006 в ред. от 02.07.2021), как только они становятся операторами таких данных.
К операторам персональных данных относят лиц, которые самостоятельно или совместно с другими лицами организовывают и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав обрабатываемых данных, действия или операции с персональными данными.
Чтобы избежать возможных нарушений, уже на момент создания компании или ИП, которые планируют работать с физическими лицами и нанимать работников, необходимо:
- Определить, с какими персональными данными компания или ИП будет иметь дело.
- Изучить закон «О персональных данных», требования закона и определить, как и в каких локальных актах закрепить выполнение этих требований.
- Организовать обработку персональных данных — подготовить, издать и опубликовать необходимые акты, а также создать условия для выполнения действий и операций с персональными данными с соблюдением нормативных требований.
- Определиться с техническими средствами обработки ПДн, уделив особое внимание защите данных.
Следует избегать шаблонных решений. Они — не более чем ориентир. Желательно, чтобы все вышеперечисленные шаги были сделаны с привлечением кадровых специалистов и юристов.
Например, многие компании и ИП считают, что достаточно лишь подготовить политику в отношении обработки ПД и согласие на обработку персональных данных, взяв за основу примеры этих документов из интернета. Действительно, это основные документы, однако в ходе проверки Роскомнадзор может потребовать и другие, которые обязательно должны быть, учитывая специфику работы с персональными данными в проверяемой компании. Могут вызвать претензии и представленные политика обработка ПДн и согласие на их обработку, поскольку они составлены шаблонно и не отражают особенности обработки ПДн у проверяемого лица.
Поэтому если своих юристов и кадровиков нет, лучше для подготовки документов привлечь сторонних специалистов или, по крайней мере, показать им самостоятельно подготовленные документы.
Пять базовых принципов закона о персональных данных
Деятельность по обработке персональных данных регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.
В 2021 году значительно выросли штрафы за нарушения в работе с персональными данными. Появились и другие нововведения, которые обеспечили им дополнительную защиту. Так, прояснился вопрос о получении согласия на распространение данных.
Но начинать разбираться в теме нужно с законодательных основ.
к содержанию ↑Закон касается всех организаций — и коммерческих, и бюджетных
Персональные данные, как следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных), это любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и т.д.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.
Закон распространяется на все без исключения организации. Поскольку в каждой есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.
Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Компании могут использовать данные различных категорий субъектов
С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.
Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, турагентства) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.
Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.
У товариществ собственников жилья нет ни работников, ни клиентов. Это объединение собственников квартир. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.
к содержанию ↑Обработке подлежат персональные данные, отвечающие целям их обработки
Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.
Необходимо знать, какие именно данные нужно использовать
Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Например, для доставки товара интернет-магазину достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.
к содержанию ↑Необходимо понимать, когда требуется согласие на обработку данных
Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их.
Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.
Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие на обработку персональных данных у субъекта данных (ст. 9 Закона о персональных данных).
Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.
Если интернет-магазин после доставки товара планирует рассылать клиентам СМС-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью.
В ч. 1 ст. 15 Закона о персональных данных указано на то, что рекламные контакты с клиентами совершаются только при условии получения их согласия.
к содержанию ↑Обработка биометрических персональных данных
Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 Закона о персональных данных) и биометрических персональных данных (ст.
11 Закона о персональных данных).
К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).
К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал письменное согласие).
Отдельно закон говорит о передаче данных за границу (ст. 12 Закона о персональных данных).
к содержанию ↑Требования к обработке персональных данных
С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 Закона о персональных данных):
1. Правовые меры
Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, Политики в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т.д.
2. Организационные меры
Эти меры связаны с деятельностью компании. Закон требует, чтобы Политика в отношении обработки персональных данных была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие обращения, уточняется в ст. 20 и ст. 21 Закона о персональных данных.
3. Технические меры
Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.
Чек-лист: что нужно сделать
- Разобраться, с данными каких категорий субъектов имеет дело бизнес, на каком основании и с какой целью он использует их.
- Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
- Принять соответствующие организационные меры. Например, опубликовать Политику в отношении обработки персональных данных и быть готовыми выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
- Позаботиться о технических мерах. Стоит отметить, что закон предоставляет бизнесу свободу в выборе технических мер. Что касается госкомпаний, то для них требования по использованию средств защиты информации четко определены и подробно описаны.
Обработка персональных данных: как избежать штрафов
Закон обязывает компании работать с персональными данными в соответствии с заявленными целями и предъявляет строгие требования к их хранению и распространению.
01.06.2022 10:00 2516 Читать позже
Отправили статью на почту!
Любая компания, независимо от того, коммерческая она или государственная, имеет дело с персональными данными. Это могут быть данные работников, клиентов, посетителей сайтов, соискателей и других физлиц. Требования к их использованию часто зависят от специфики сферы, в которой работает бизнес.
Но есть правила, прописанные в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных). Их следует соблюдать, чтобы избежать наказаний, которые в последние годы только ужесточаются. В марте 2021 года вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который повысил ответственность за игнорирование требований к обработке личных данных.
Для юрлиц размер штрафа теперь составляет от 60 000 до 100 000 руб., а при повторном нарушении денежные санкции возрастают до 300 000 руб.
к содержанию ↑Кто такие операторы и субъекты персональных данных
Персональными данными считается любая информация, которая относится к физическому лицу: не только данные, указанные в паспорте, дипломе и других документах, но и сведения о трудовой деятельности (например, размер зарплаты), специальные данные (состояние здоровья, национальность, политические и религиозные убеждения) и даже биометрические данные (физиологические особенности человека). В зависимости от специфики деятельности компания может иметь дело с различными категориями данных. Например, если она использует системы контроля доступа, то ей придется собирать и обеспечивать хранение биометрических данных.
Медицинские организации работают со специальными данными, связанными с показателями здоровья пациента. При этом почти каждая компания собирает данные своих работников, соискателей, клиентов. В процесс обработки персональных данных вовлечены две стороны — оператор персональных данных и субъект персональных данных.
Если первая получает доступ к обработке и распространению таких данных, то вторая дает на это свое согласие, то есть предоставляет доступ. При этом Закон о персональных данных ограничивает действия операторов четкими правилами.
Школа коммерческой безопасности
- Подбираете комплексную, насыщенную практическими инструментами программу повышения квалификации?
- Хотите изучить вопросы оценки состояния безопасности компании и разработки системы обеспечения безопасности?
- Интересуетесь методами создания системы противодействия хищениям, мошенничеству и взяткам на предприятии?
Подробности и регистрация
Законодательно оператор персональных данных определяется как юридическое или физическое лицо, которые:
- Организуют и (или) производят обработку данных.
- Устанавливают цели обработки, состав данных, а также действия, совершаемые с ними.
Под обработку попадают различные действия с персональными данными, в том числе комплекс действий с применением средств автоматизации. Это сбор, запись, накопление, систематизация, хранение, уточнение, извлечение, использование, распространение, блокирование, удаление, уничтожение данных.
к содержанию ↑Обработка персональных данных напрямую связана с целями
Во-первых, обработка ограничивается достижением определенных целей. И эти цели должны быть конкретными, заранее определенными и законными. Нельзя обрабатывать данные, которые не отвечают целям их сбора.
Например, компания может на своем сайте осуществлять сбор электронных адресов посетителей для последующей отправки рассылок. На это она должна получить согласие субъекта, предупредив его о том, что целью сбора является рассылка информационных сообщений и ничего более. Обычно цели обработки персональных данных прописываются в специальном документе — Политике обработки персональных данных.
Во-вторых, содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Компании должны понимать, данные каких категорий субъектов они используют и с какой целью.
Например, если кадровое агентство имеет дело с соискателями и заказчиками, то целей сбора их данных может быть несколько: связь с пользователями, обработка заказов и платежей, улучшение качества обслуживания клиентов. Следовательно, агентство вправе запрашивать только те данные, которые соответствуют целям. Например, оно не имеет права узнавать у соискателя его политические и религиозные убеждения.
С 1 сентября 2022 года бизнесу будут предъявляться повышенные требования — им запретят требовать персональные данные в ситуациях, когда закон этого не предусматривает. Соответствующие изменения в ст. 14.8 КоАП вносит Федеральный закон от 28.05.2022 № 145-ФЗ.
Требования закона адресованы прежде всего магазинам. Они не имеют право вынуждать потребителей делиться данными без явной необходимости при покупке товаров и услуг. В противном случае они будут оштрафованы: должностные лица — от 5 000 до 10 000 руб., юрлица — от 30 000 до 50 000 руб.
к содержанию ↑Операторы не имеют права раскрывать данные третьим лицам и просто так делиться ими
Серьезные изменения в Закон о персональных данных внес Федеральный закон от 30.12.2020 № 519-ФЗ. Теперь на распространение данных оформляется отдельное согласие. А вот молчание или бездействие не могут рассматриваться как согласие.
Таким образом, если компания планирует распространять данные, ей недостаточно только получить согласие на их обработку. Придется дополнительно заручиться согласием на распространение.