ГлавнаяНаследованиеОбработка персональных данных работодателем
30.04.2023

Обработка персональных данных работодателем

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных
2. Риски при нарушении требований к обработке персональных данных работников организации
3. Передача персональных данных за границу
4. Основные этапы защиты ПДн
5. Штрафы за неуведомление Роскомнадзора
6. Организация защиты персональных данных
7. Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
8. Оператор по обработке персональных данных
9. Образец листа ознакомления с локальными нормативными актами
10. Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Передача персональных данных за границу

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Соблюдение требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 обеспечивается комплексом организационных и технологических мероприятий. В реализации организационных мер активную роль играют службы делопроизводства и кадров. В связи со вступлением в силу с 1 марта 2021 года изменений в Закон № 152‑ФЗ служба делопроизводства может стать активным участником внутренних процедур аудита системы работы с персональными данными в организации.

Читайте также:  Разворот на перекрестке в 2023 году: как правильно развернуться по ПДД

Во-первых, вместе с первым руководителем необходимо проверить актуальность приказа о назначении ответственного за организацию работы с персональными данными, поставить его на контроль по сроку действия (с напоминанием 1 раз в полгода о поддержании приказа в актуальном состоянии при смене персоналий). Таким ответственным назначается, как правило, заместитель руководителя организации, и в случае его смены необходимо будет издание нового приказа.

Во-вторых, совместно с уполномоченным заместителем, кадровой службой и даже экспертной комиссией организации по работе с конфиденциальной информацией и документами (образуется, как правило, в крупных организациях) надо решить вопрос:

  • о включении в Перечень конфиденциальной информации и документов конкретного списка обрабатываемых и распространяемых (с согласия работников) персональных данных (включая биометрические, особенно личные фото) или
  • о разработке в плановом порядке отдельного Перечня персональных данных, в котором необходимо закрепить категории и конкретный список персональных данных, обработку которых работник разрешает (путем оформления согласия) или обработка которых запрещена (с указанием срока действия).

Далее на основе Перечня и с учетом положений о структурных подразделениях (отделах и пр.) и должностных инструкций, которые также подлежат регулярному обновлению, необходимо проверить актуальность приказа о назначении ответственных за обработку персональных данных работников организации. В такой приказ включаются:

  • кроме сотрудников кадровой службы,
  • бухгалтерии и
  • службы делопроизводства
  • еще и руководители структурных подразделений,
  • а при необходимости – ​их заместители и секретари подразделений, т. к. они тоже должны получить права доступа к персональным данным работников своих подразделений, о чем работники должны быть уведомлены.

В связи с функциями кадровой службы, бухгалтерии и ИТ-отдела рекомендуем проверить актуальность приказа об утверждении мест хранения материальных носителей персональных данных и соответствующих ответственных за хранение.

Изменения в Закон № 152‑ФЗ – ​хороший повод проверить актуальность действующих в организации локальных нормативных актов об обработке и защите персональных данных:

  • начиная с обязательно публикуемой на сайте Политики обработки и защиты персональных данных, в которой заявляются обязательства оператора,
  • и заканчивая Правилами формирования и ведения личных дел, которыми руководствуется кадровая служба (лучше регламентировать этот процесс, если у вас ведутся личные дела).

В Политику необходимо внести актуальные изменения о «разрешенных субъектом персональных данных для распространения» вместо «общедоступных» персональных данных, которые сделал свободно распространяемыми сам субъект.

Штрафы за неуведомление Роскомнадзора

Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

  • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
  • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
  • соответствии паролей международным стандартам;
  • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.
Читайте также:  Куда сдать оружие после окончания / сдачи лицензии на оружие в 2023

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

  1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
  2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
  3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
  4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
  5. Со всеми приказами работники должны быть ознакомлены под подпись.

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Образец листа ознакомления с локальными нормативными актами 

 N 
п/п
 
 Наименование локального нормативного акта 
 Дата 
 Подпись
 
 1 
Правила внутреннего трудового распорядка 
ООО "Черный лес" 
03.10.2011
 
Евстахов
 
 2 
Положение об оплате труда, премировании и 
социальном обеспечении сотрудников ООО "Черный 
лес" 
03.10.2011
 
Евстахов
 
 3 
Инструкция по информационной безопасности, 
утвержденная Приказом от 15.06.2008 N 1 
03.10.2011
 
Евстахов
 
 4 
Положение о персональных данных 
03.10.2011
 
Евстахов
 
 5 
Положение о материальной ответственности 
работников за ущерб, причиненный ООО "Черный лес"
 
03.10.2011
 
Евстахов

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников 

 Нарушение 
 Ответственность 
 Норма 
законодательства
 
Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных) 
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб. 
Статья 13.11
КоАП РФ 
Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей 
Для должностных лиц:
от 4000 до 5000 руб.
 
Статья 13.14
КоАП РФ

Закон гласит, что мы должны применять правовые, организационные — их мы уже начали обсуждать — и технические меры по обеспечению безопасности персональных данных. Повторюсь, поскольку век у нас двадцать первый, все мы работаем с компьютерами, персональные данные у нас обрабатываются в компьютерах, закон говорит о том, что эти компьютеры должны быть надлежащим образом защищены. И тут как раз возникают те самые страшные модели угроз, о которых я говорил в самом начале. Что такое модели угроз и рекомендации по составлению этих моделей угроз, которые утверждены ФСТЭКом?

Смысл, если в двух словах, в том, что Федеральная служба по технически-экспертному контролю сформулировала некий массив теоретических угроз, которые могут угрожать персональным данным, которые обрабатываются в наших компьютерах. А мы уже из всего этого массива угроз должны выбрать те, которые для нас актуальны, и от них защититься, если говорить упрощенно. Из всего этого массива угроз, в принципе, для нас с вами актуальна одна угроза, но двух видов.

Одна угроза — это не санкционированный доступ к персональным данным. То есть, когда посторонние лица получают доступ к тем персональным данным, которые обрабатываются у нас в организации. Несанкционированный доступ может быть двух видов. Во-первых, физический, когда постороннее лицо получает доступ к нам в офис и к компьютеру непосредственно, и может скопировать, удалить, изменить, в общем, что-то сделать с персональными данными. И второй несанкционированный доступ к персональным данным может быть по сетям общего пользования, грубо говоря, через интернет: вредоносные программы, целенаправленные хакерские атаки. И вот от этого мы с вами должны защититься.

Читайте также:  Получение гражданства РФ для граждан Республики Таджикистан в 2023 году

От вредоносных программ и хакерских атак защищает нас, в принципе, адекватное сертифицированное антивирусное обеспечение, а от физического доступа мы должны наш компьютер обезопасить. Возможность установления стандартного пароля – это абсолютно недостаточная мера потому, что, ну, сейчас даже школьники ломают пароли за считанные минуты. Поэтому компьютер нужно защитить, минимум что, в принципе, расценивается как достаточная мера — это установка на те компьютеры, в которых обрабатываются персональные данные, они так и называются, «средства от несанкционированного доступа». Как правило, представляют из себя диск с программой и ключ-флешку. Вот, цифровая подпись синенькая, а эта — красненькая. Вот такая же ключ-флешка, пока ее не вставил в компьютер и не ввел пароль, доступ к компьютеру получить нельзя. И, в принципе, это минимальное, что считается достаточным.

Где это все взять? В общем, игроков на рынке очень много, все зависит от возможностей самой организации, то есть, каждая организация выбирает для себя поставщика этих средств защиты. Все зависит от того, какая организация по цене устраивает вас. Игроков много, цены абсолютно разные на продукцию. Единственное, что можно порекомендовать, чтобы минимизировать расходы, во-первых, постараться свести к минимуму количество компьютеров, в которых обрабатываются персональные данные. То есть, чем меньше компьютеров, соответственно, тем меньше их защищать, дешевле. А второе, при определении поставщика средств нужно отсеять посредников. То есть, непосредственно обращаться к разработчику средств – посредники накрутят свою маржу и сами закупят непосредственно у разработчиков.

В организации должен быть Приказ «О допуске сотрудников к обработке персональных данных». Всех ли вы допускаете к обработке персональных данных или не всех, это абсолютно на ваше усмотрение, но это определяется приказом по организации. И только те сотрудники, соответственно, могут получать доступ к персональным данным, к тем компьютерам, в которых обрабатываются персональные данные. Те, которых в приказе нет, соответственно, не должны ни в коем случае получать доступ.

Далее. Должен быть Приказ «Об утверждении списка помещений, в которых могут обрабатываться персональные данные». По идее, если у вас несколько помещений, несколько комнат, вы должны определить ту, в которой хранятся персональные данные и обеспечить, чтобы доступ в это помещение был только для тех сотрудников, которые утверждены приказом. Никаких посторонних лиц в эти помещения попадать не должно. Никакого приема посетителей в помещении, где хранятся персональные данные, быть не должно. Доступ туда строго определенных сотрудников. Помещения, соответственно, или шкафы, которые там находятся, в которых хранятся персональные данные, все это должно закрываться. Как минимум, помещение. Вы должны исключить доступ посторонних лиц туда.

Если же бывает, задавали вопрос: а у нас вот всего одна комнатушка, людей принимать мы как-то должны? У нас все тут хранится. В этом случае, опять же, в Положении своем вы должны это все подробно расписать, что на время приема посетителей шкафы с персональными данными должны быть закрыты, на столах не должны лежать документы, содержащие персональные данные, компьютер, если в нем обрабатываются персональные данные, от посетителя должен быть отвернут. Хотя бы формально вы весь этот порядок работы с персональными данными должны прописать в этом Положении, все сотрудники должны быть с ним ознакомлены.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *