- Что такое персональные данные и их обработка
- Что должен делать оператор
- Инструкция по защите ПДн в компании
- Шаг 1. Определите уровни доступа к персональным данным
- Шаг 2. Разработайте ЛНА по работе с ПДн
- Шаг 3. Назначьте ответственного
- Шаг 4. Получайте согласие на обработку ПДн
- Шаг 5. Обеспечьте безопасное хранение ПДн
- Шаг 6. Проведите оценку возможного вреда
- Шаг 7. Обучите сотрудников
- Шаг 8. Действуйте в установленные сроки
- Штрафы за нарушение в сфере ПДн
Законодательство в области персональных данных всё время ужесточается – вводятся новые требования, растут штрафы за нарушения. Главная цель – защитить личную информацию людей. За её утечку организация или ИП может поплатиться суммой от 3 млн рублей.
Однако далеко не все бизнесмены и руководители разбираются в этой сфере и осознают ответственность. Рассказываем, как правильно работать с персональными данными и что нужно предпринять для их защиты.
Что такое персональные данные и их обработка
Персональные данные (ПДн) – это любая информация, которая позволяет идентифицировать человека. Причём необязательно называть его по имени. Иногда достаточно указать на косвенные признаки, и личность станет очевидна. Например, если сказать о сотруднике «ему 30 лет, работает в отделе продаж», то в небольшой компании сразу станет понятно, о ком речь. Так вот, набор таких характеристик человека – это тоже его персональные данные.
Сбор, хранение, систематизация, передача в налоговую или банк, размещение на сайте, обезличивание или удаление – все эти действия с ПДн считаются их обработкой. Фактически любая работа с личной информацией сотрудников, клиентов или контрагентов подпадает под этот термин. Неважно, делаете вы это вручную или через компьютер.
В России действует закон «О персональных данных» № 152-ФЗ от 27.07.2006. Он требует, чтобы оператор ПДн соблюдал установленные правила, в том числе защищал информацию. Оператором признаётся тот, кто организует обработку ПДн и определяет её цели. Для бизнеса это значит следующее: если у вас есть сотрудники, вы заключаете договоры с контрагентами или ведёте базу клиентов, вы уже оператор. Исключение – редкие случаи, когда предприниматель работает один и вообще не хранит чужих данных.
Что должен делать оператор
Организация или ИП как оператор ПДн приобретает ряд обязанностей, и вот основные:
- Собирать только необходимые для работы данные. Их нужно получать напрямую у субъекта. Если сведения поступают от третьих лиц, требуется письменное согласие. Запрещено собирать специальные категории данных (о здоровье, политике, религии и т. д.), если это не связано с трудовыми обязанностями.
- Получать согласие субъекта на обработку ПДн, если это не вытекает из закона или договора. В обязательном порядке согласие требуется для распространения данных, в том числе для публикации на сайте и даже на визитке.
- Хранить данные граждан РФ на территории России. Выводить их за рубеж можно только в случаях, прямо разрешённых законом. Поэтому все применяемые для работы с ПДн сервисы, например, CRM-системы, должны хранить данные на серверах в РФ. Надёжнее работать только с отечественными сервисами. Это касается, среди прочего, и хостинг-провайдеров, ведь на сайте могут быть ПДн сотрудников или клиентов.
- Оценивать риски и возможный вред, который может быть причинён субъектам при нарушении правил обработки ПДн.
- Уведомить Роскомнадзор о намерении обрабатывать персональные данные, взаимодействовать с ним и другими госструктурами в сфере защиты ПДн. В том числе с системой ГосСОПКА.
- Реагировать на запросы физлиц – субъектов ПДн. Например, если человек решил узнать, какие данные есть у работодателя, ему нужно ответить за 10 рабочих дней.
Инструкция по защите ПДн в компании
Теперь о том, как на практике строится защита персональных данных в организации. Пошаговая инструкция поможет бизнесу наладить работу с ПДн и снизить риск штрафов.
Важно: не забудьте уведомить Роскомнадзор о намерении обрабатывать персональные данные. Иначе можно получить штраф от 100 до 300 тыс. рублей (ч. 10 ст. 13.11 КоАП РФ).
Шаг 1. Определите уровни доступа к персональным данным
Работодатель должен определить круг лиц, которые имеют доступ к ПДн по долгу службы, например, кадровики, бухгалтеры, секретари. Сотрудников наделяют разным уровнем доступа в зависимости от должности и полномочий. Например, бухгалтерии для её работы нужно знать Ф. И. О. человека, должность, СНИЛС, ИНН, общий стаж, реквизиты счёта в банке, информацию о детях и иные сведения.
Лица, получившие доступ к ПДн по долгу службы, должны подписывать обязательство о неразглашении.
Шаг 2. Разработайте ЛНА по работе с ПДн
Правила обработки персональных данных в организации должны быть изложены в локальном акте. Обычно утверждают Положение о работе с персональными данными. В него включают:
- Вводный раздел, где поясняется, что такое ПДн, их обработка и т.д.
- Состав ПДн и список документов, которые их содержат.
- Порядок и правила обработки ПДн – от сбора до хранения, включая передачу третьему лицу.
- Перечень лиц, которым доступны личные сведения физлиц. Нужно расписать подробно, какие службы / должности имеют доступ к тому или иному типу ПДн.
Все сотрудники должны быть ознакомлены с Положением под личную подпись.
Шаг 3. Назначьте ответственного
Руководитель организации или ИП своим приказом должен назначить ответственное лицо за работу с ПДн. Это может быть любой сотрудник, которому доверяют управление данной сферой, например, кадровик, ИТ-специалист, начальник службы безопасности. И даже человек, который в компании не работает. ИП может быть таким ответственным лицом сам.
Важно: ответственный человек становится центром системы защиты ПДн внутри компании. Он связывает руководство, сотрудников и контролирующие органы.
Ответственный получает указания напрямую от руководителя компании и подотчётен только ему. Чтобы выполнять свои обязанности, он должен иметь доступ к информации об обработке персональных данных. Задачи ответственного включают три направления:
- Контроль – он следит, чтобы компания и её сотрудники соблюдали закон № 152-ФЗ и требования по защите информации.
- Обучение и информирование – он доводит до работников положения закона и внутренние правила, объясняет, как правильно работать с ПДн.
- Работа с запросами – организует приём и рассмотрение обращений сотрудников и других субъектов ПДн, а также контролирует, чтобы на них отвечали в установленные законом сроки.
Шаг 4. Получайте согласие на обработку ПДн
Согласие субъекта – это правовое основание обработки персональных данных.
Важно: с 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено в виде отдельного документа. Удостоверьтесь, что в нём есть все необходимые реквизиты – они перечислены в ч. 4 ст. 9 № 152-ФЗ. Если данные будут передаваться третьему лицу, согласие на это также нужно оформить отдельным документом.
Примечание. Не всегда для обработки ПДн нужно согласие сотрудника. Если компания выполняет обязанности, установленные законом, или исполняет условия трудового договора, отдельное согласие не требуется. Например, когда бухгалтер использует данные о банковском счёте для выплаты зарплаты.
Но во многих случаях получать согласие субъектов на обработку его ПДн обязательно. Причём речь не только о работниках. Согласие требуется, например, если в компании есть базы физлиц – клиентов, партнёров или прочих контрагентов. В их число входят и представители организаций, допустим, сотрудник отдела снабжения, с которым контактирует компания.
На практике многие работодатели берут согласие уже при приёме на работу, даже если закон прямо этого не требует. Это снижает риски и помогает избежать многих спорных ситуаций.
Важно: если вы передаёте кадровый учёт / бухгалтерию на аутсорсинг или размещаете какие-либо сведения о сотрудниках на сайте, это уже распространение ПДн. Нужно взять отдельное согласие на обработку и отдельное – на распространение данных.
Если по закону согласие необходимо, оператор обязан разъяснить физлицу, что будет, если он его не даст. Например, без информации о детях не получится оформить стандартный вычет НДФЛ.
Шаг 5. Обеспечьте безопасное хранение ПДн
Компания обязана защищать персональные данные весь срок их хранения – для некоторых документов он достигает 75 лет. Это значит, что защита должна быть не разовой мерой, а системной. Закон требует принимать правовые, организационные и технические меры информационной безопасности, чтобы исключить несанкционированный доступ к личным данным.
Хранение персональных данных в организации может быть реализовано как в электронном виде, так и на бумаге.
Бумажные документы с ПДн нужно хранить в сейфах или архивных помещениях с ограниченным доступом. Помещения защищаются сигнализацией или другими средствами. Нужно вести учёт всех материальных носителей и заранее определить, какие документы относятся к охраняемым.
Электронные системы с ПДн нужно, в первую очередь, защитить через ограничение доступа. Для сотрудников, работающих с личными данными, применяются индивидуальные пароли и двухфакторная аутентификация. Пароли нужно регулярно менять, а ключи доступа выдавать лично, без пересылки по почте или мессенджерам.
Дополнительно используются технические средства защиты: межсетевые экраны, антивирусы, системы предотвращения утечек (DLP), криптографические решения для шифрования.
Шаг 6. Проведите оценку возможного вреда
Нужно оценить вред, который может получить физлицо, если компания нарушит закон № 152-ФЗ и не справится с защитой его ПДн. Алгоритм такой:
- Назначьте ответственное лицо или создайте комиссию для проведения оценки.
- Изучите все процессы обработки ПДн: цели, категории информации, источники её получения и число субъектов.
- Определите потенциальный уровень вреда для каждого процесса, используя критерии из Приказа Роскомнадзора от 27.10.2022 № 178.
- Составьте акт оценки вреда в свободной форме, включив в него все необходимые сведения.
- Подпишите документ и обеспечьте его надёжное хранение.
- Учитывайте результаты оценки при выборе и применении организационных и технических мер защиты персональных данных.
Степени вреда по приказу РКН № 178 показали в таблице:
Степень вреда | Когда устанавливается |
|---|---|
Высокая | Обработка биометрических ПДн, а также специальных категорий данных: о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, судимости, ПДн несовершеннолетних. Обезличивание данных для скоринга и исследований, передача обработки иностранным лицам и использование зарубежных баз данных |
Средняя | Публикация ПДн на сайте или передача неограниченному кругу лиц (если это не предусмотрено законом). Использование ПДн не по первоначальной цели. Продвижение товаров и услуг через чужие базы. Получение согласия без идентификации субъекта. Передача права обработки третьим лицам для несовместимых целей |
Низкая | Ведение общедоступных источников (справочники, адресные книги и др.). Назначение ответственным лица, которое не является сотрудником оператора |
В акт об оценке вреда включите сведения о компании, дату составления, дату оценки, Ф.И.О. и должность сотрудника (или членов комиссии), проводивших оценку, а также степень возможного вреда. Акт должен быть подписан назначенным специалистом или членами комиссии.
Шаг 7. Обучите сотрудников
Сотрудники, которые работают с персональными данными, должны знать закон и правила компании. Если знаний не хватает, организуйте обучение персонала.
Шаг 8. Действуйте в установленные сроки
Самая быстрая реакция требуется при утечке данных. Вот что нужно сделать (приказ Роскомнадзора от 14.11.2022 № 187):
- В течение 24 часов с момента выявления инцидента уведомить Роскомнадзор о происшествии, предполагаемых причинах и возможном вреде, а также принятых мерах по ликвидации последствий.
- В течение 72 часов сообщить о результатах внутреннего расследования и предоставить сведения о виновных лицах, если они были установлены.
Также оператор обязан обеспечивать взаимодействие с системой ГосСОПКА. Порядок взаимодействия – в приказе ФСБ РФ от 13.02.2023 № 77.
Но соблюдать сроки нужно не только в случае утечки. В таблице ниже собрали ситуации и указали, что делать оператору и в какие сроки.
Ситуация | Что делает оператор | Срок |
|---|---|---|
Субъект ПДн запросил информацию о своих данных | Сообщает, какие именно персональные данные хранятся и обрабатываются | 10 рабочих дней (можно продлить на 5, уведомив субъект ПДн) |
Обнаружилась ошибка в ПДн или неточные сведения | Исправляет данные или удаляет их, если они лишние | 7 рабочих дней |
Выявлена незаконная обработка ПДн | Блокирует неправомерно обрабатываемые ПДн | Незамедлительно, на время проверки |
Прекращает обработку | 3 рабочих дня | |
Если прекратить обработку невозможно — полностью уничтожает данные | 10 рабочих дней | |
Субъект ПДн отозвал согласие на обработку или цель обработки достигнута | Удаляет все данные, если закон не требует хранить их дольше | 30 дней |
Субъект потребовал прекратить обработку его ПДн | Прекращает обработку, если иное не предусмотрено законом | 10 рабочих дней (можно продлить на 5, уведомив субъект ПДн) |
Уничтожить данные невозможно | Блокирует данные | На период не более 6 месяцев |
Штрафы за нарушение в сфере ПДн
В ст. 13.11 КоАП РФ выделено больше 20 различных правонарушений в области защиты персональных данных. Например, за обработку ПДн, не предусмотренных законом, в первый раз ИП оштрафуют на 50–100 тыс. ₽, организацию – на 150–300 тыс. ₽. При повторном выявлении штраф будет одинаковый – 300–500 тыс. ₽.
Если обрабатывать ПДн без письменного согласия субъекта, штраф для ИП составит 100–300 тыс. ₽, для юрлиц – 300-700 тыс. ₽. Повторное нарушение карается более строго: для ИП – 0,5–1 млн ₽, для юрлица – 1–1,5 млн ₽.
Если хранить данные на на территории РФ, организацию или ИП оштрафуют на 1–6 млн ₽, за повторное нарушение – на 6–18 млн ₽.
Штрафы за неправомерную передачу данных, включая утечку, одинаковы для юрлиц и предпринимателей:
- за данные 1–10 тыс. субъектов штраф составит 3–5 млн ₽;
- 10–100 тыс. субъектов – 5–10 млн ₽;
- более 100 тыс. субъектов – 10–15 млн ₽;
- за специальные категории данных – 10–15 млн ₽;
- за биометрические ПДн – 15–20 млн ₽.
При повторных утечках штраф составит 1–3% выручки за прошлый год, минимум 20–25 млн ₽, максимум 500 млн ₽.
За несвоевременное уведомление Роскомнадзора о фактах утечки ИП или юрлицо дополнительно поплатится штрафом 1–3 млн ₽.
Мы рассказали, как работать с ПДн в компаниях, какие документы по персональным данным нужно оформить и какие требования учесть. Рекомендуем ознакомиться с полным текстом закона № 152-ФЗ, ст. 11.13 КоАП РФ, а также упомянутыми подзаконными актами.
Расчёт зарплаты и кадровый учёт
Это может быть интересно
Мы не гарантируем бесплатных ответов по сложным кейсам.