ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Информация о материале
- Защити предприятие
Думаю, многие из наших читателей в этом году получали письма с текстом приблизительно такого содержания:
|
«Предписание о разработке системы защиты персональных данных, согласно Федеральному закону № 152-ФЗ» «Во избежание штрафов, информируем, что все организации Российской Федерации, вне зависимости от формы собственности и организационно-правовой формы, обязаны уведомить Федеральную службу по надзору в сфере связи, информационных технологий и коммуникаций (Роскомнадзор) об обработке персональных данных и разработать комплект документации по информационной безопасности.
Если ваша организация: «ООО» не зарегистрирована в реестре Роскомнадзора, в т.ч. не разработан комплект документов по защите персональных данных, ей грозит штраф в размере от 45 000 руб. до 300 000 руб. При отсутствии документов и внедренной системы защиты персональных данных сотрудников и клиентов, ваше предприятие не может законно продолжать свою деятельность. Настоятельно рекомендуем не затягивать до штрафов при получении уведомления от Роскомнадзора в 2017 году, а принять участие в льготной федеральной программе, расположенной на интернет-сайте: 152фз.россерт.рф, по разработке документации и внесению в единый реестр, предусматривающей субсидии до 50% представителям малого и среднего бизнеса». |
Затем на сайте Роскомнадзора вышла информация о том, чтоэти письма – фальшивки!!В сообщении ведомства, говорилось, что рассылка производится с почтового сервера с доменным именем, которое не используется Роскомнадзором. Официальные сообщения Роскомнадзора могут быть отправлены исключительно с адресов электронной почты сервера @rkn.gov.ru.
Такой ажиотаж мошенников связан с тем, что с 1 июля 2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и существенное увеличение штрафов как для физических, так и для юридических лиц.
|
Основание |
Размер штрафа |
|||
|
Физические лица |
Должностные лица |
Юридические лица |
ИП |
|
|
Обработка ПД в случаях, не предусмотренных законодательством РФ; обработка ПД, несовместимая с целями сбора ПД |
предупреждение или штраф — от 1000 до 3000 руб. |
предупреждение или штраф — от 5000 до |
предупреждение или штраф — от 30 000 до 50 000 руб. |
|
|
Обработка ПД без письменного согласия на то их субъекта |
от 3000 до 5000 руб. |
от 10 000 до 20 000 руб. |
от 15 000 до 75 000 руб. |
|
|
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД |
от 700 до 1500 руб. |
от 3000 до 6000 руб. |
от 15 000 до 30 000 руб. |
от 5000 до 10 000 руб. |
|
Непредоставление субъекту ПД информации по их обработке |
предупреждение или штраф — от 1000 до 2000 руб. |
предупреждение или штраф — от 4000 до 6000 руб. |
предупреждение или штраф — от 20 000 до 40 000 руб. |
предупреждение или штраф — от 10 000 до 15 000 руб. |
|
Невыполнение оператором требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) |
предупреждение или наложение штрафа в размере от 1000 до 2000 руб. |
предупреждение или штраф — от 4000 до |
предупреждение или штраф — от 25 000 до 45 000 руб. |
предупреждение или штраф — от 10 000 до 20 000 руб. |
|
Необеспечение оператором при обработке ПД без средств автоматизации обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования |
от 700 до 2000 руб. |
от 4000 до |
от 25 000 до 50 000 руб. |
от 10 000 до 20 000 руб. |
|
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД |
предупреждение или наложение административного штрафа — от 3000 до 6000 руб. |
|||
Обратите внимание: именно такое основание, как обработка ПД без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
Не стоит забывать и о многочисленных судебных разбирательствах, касаемых нарушения прав работников в обработке их персональных данных. Следует отметить, что суд не всегда встает на сторону истцов, но работодателю лучше изначально не допускать повода для судебных разбирательств.
Прежде всего, следует определиться: является ли ваша организация оператором персональных данных, распространяется ли на вас Федеральный закон «О защите персональных данных» от 27.07.2006 № 152 - ФЗ (далее по тексту Закон № 152-ФЗ) и должны ли вы уведомить Роскомнадзор, чтобы избежать штрафов?
В соответствии с Законом № 152-ФЗ персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных). К этой категории сведений относятся:
- фамилия, имя, отчество;
- пол, возраст;
-образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- деловые и иные личные качества, которые носят оценочный характер;
- сведения о заработной плате;
-прочие сведения, которые могут идентифицировать человека (например, фотографии).
Документов, содержащих персональные данные, довольно много, начиная с анкет, заполняемых при трудоустройстве, паспорта, документов об образовании, трудовой книжки, паспорта и заканчивая свидетельствами о заключении брака, рождении детей, медицинскими справками и т.д.
Любой работодатель в соответствии с Законом № 152-ФЗ признается оператором обработки персональных данных, так как самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных.
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии со ст. 86 ТК РФ при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
У работодателя, обрабатывающего персональные данные своих работников в соответствии с трудовым законодательством, отсутствует обязанность по уведомлению Роскомнадзора о своем намерении осуществлять обработку персональных данных, и, соответственно, он не подлежит включению в реестр операторов (часть 2 ст. 22 Закона № 152-ФЗ).При этом то, каким способом вы обрабатываете персональные данные работников (вручную, автоматизировано или смешанно), не важно.
В результате на вас только возлагается обязанность правильно организовать на своем предприятии обработку и защиту персональных данных работников.
Прежде всего, любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты персональных данных работников (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ; п. 8 ст. 86, статьи 87, 88 ТК РФ). В частности, разработать Положение о персональных данных (далее по тексту – Положение о ПД), ознакомить всех работников под роспись с указанным Положением. А также впоследствие при внесении корректировок в указанное Положение, также оформлять лист ознакомления сотрудников с внесенными изменениями (ч. 1 ст. 18 Закона № 152-ФЗ; п. 8 ст. 86, ст. 88 ТК РФ).
Положение о ПД должно в себя включать:
- перечень обрабатываемых ПД (п. 2 ст. 3 Закона № 152-ФЗ). То есть, всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами.
К ним относятся: паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
- цели обработки ПД (п. 2 ст. 3, ч. 2 ст. 5 Закона № 152-ФЗ). Их можно переписать из Трудового кодекса (п. 1 ст. 86 ТК РФ);
- перечень действий с ПД (п. 2 ст. 3 Закона № 152-ФЗ). Они перечислены в определении понятия «обработка персональных данных».
В частности, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п. (п. 3 ст. 3 Закона № 152-ФЗ).Работодатели могут предпринимать все из указанных в этом определении действий.
- права и обязанности работников в сфере обработки ПД (п. 8 ст. 86 ТК РФ). Их тоже можно переписать из Закона о ПД и Трудового кодексаРФ (ст. 14 Закона № 152-ФЗ; ст. 89 ТК РФ).
Например, работники имеют право получать доступ к своим ПД и информацию об их обработке (ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона № 152-ФЗ).
- порядок обработки ПД, в том числе хранения, использования и передачи (п. 8 ст. 86, ст. 87, 88 ТК РФ).
Здесь нужно указать: общие требования к обработке ПД (например, что нельзя сообщать ПД третьим лицам без согласия работника); состав и перечень ваших мер по обеспечению защиты ПД (например, порядок хранения ПД, работников, имеющих допуск к ПД, средства защиты информации на компьютерах).
- ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственность (ст. 90 ТК РФ; ч. 1 ст. 24 Закона № 152-ФЗ).
Далее приказом руководителя назначаем ответственное лицо, ответственное за организацию ПД(ч. 1 ст. 22.1 Закона № 152-ФЗ).К уровню квалификации ответственного лица никаких требований нет, это может быть любой ваш работник.
Приказ может выглядеть следующим образом:
ПРИКАЗ № 67-пр от 01.07.2017Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ПРИКАЗЫВАЮ: 1. Назначить инспектора отдела кадровВасилевскую Р.И. с 04.07.2011 ответственной за организацию обработки персональных данных. 2. Внести изменения в должностную инструкцию Василевской Р.И. в связи с новым назначением. 3. Установить Василевской Р.И. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10 % от должностного оклада.
|
Следующим этапом организации Закона № 152-ФЗ на вашем предприятии является получение согласия от работников на обработку их ПД. Хотя из буквального толкования норм п.5 ч.1 ст. 6 Закона № 152-ФЗ в этом нет необходимости, трудовое законодательство этого не требует.
Однако отсутствие согласия работника исключает возможность осуществления работниками кадровых служб многих стандартных действий, необходимость которых не вытекает из трудового договора. Так, например, без согласия работника работодатель не может получить и хранить копии предоставленных им при приеме на работу документов, содержащих в себе информацию, не требующуюся для исполнения трудового договора (например, информацию о месте рождения), в том числе паспорта (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013, Постановление Пятнадцатого арбитражного апелляционного суда от 28.10.2013 № 15АП-15175/13, Решение Арбитражного суда Ростовской области от 14.11.2013 № А53-12557/2013). Также работодатель без согласия работника не может обрабатывать его контактные данные (номер телефона, электронную почту и т.д.), поскольку отсутствие данной информации не влечет за собой невозможность исполнения трудового договора.
Если же вы все-таки планируете обрабатывать такую информацию, вам необходимо получить согласие работника в письменной форме, которое должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
|
СОГЛАСИЕ Я, Петренко Павел Романович, паспорт серии 55 01 № 098767, выдан УВД Октябрьского районаг. Новосибирска 20.09.07, зарегистрированный по адресу: Новосибирская область, Ордынский район, с. Козиха,ул. Центральная, д.8, даю согласие ООО «Люблинское» на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей. Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.
Подпись: Петренко П.Р. |
Вы можете не оформлять согласие работника на обработку его ПД отдельным документом, а включить соответствующий пункт в трудовой договор. При этом его содержание должно обязательно включать в себя вышеуказанные требования, предъявляемые к содержанию указанного согласия (абзац четвертый п. 5 Разъяснений Роскомнадзора).
Многие зададутся вопросом: необходимо ли брать данное согласие с работников, трудовой договор с которыми заключен до вступления в силу Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»?
Так вот, в силу существующих общеправовых принципов нормативные правовые акты обратной силы не имеют и распространяют свое действие на отношения, возникшие после вступления их в силу (определения Конституционного Суда РФ от 16 июля 2009 года № 691-О-О, от 15 июля 2010 года № 958-О-О, от 17.11.2011 № 1614-О-О). Исходя из этого, любые отношения, связанные с обработкой персональных данных, возникшие после вступления в силу Закона№ 152-ФЗ, должны подчиняться установленным этим законом требованиям независимо от даты возникновения иных отношений (в том числе трудовых) между работниками и работодателем.
Например, с заведующим складом запчастей трудовой договор заключен в апреле 2002 г. (т.е. до вступления в силу Закона № 152-ФЗ), но в процессе деятельности вашей организации поставщики материалов просят его личный номер телефона для связи с сотрудником напрямую. В этом случае, вы обязаны получить согласие на обработку персональных данных работника и передаче информации третьему лицу.
Или, например, ваш сотрудник, который работает очень давно, решил оформить кредит в банке, и банковские сотрудники звонят вам, чтобы уточнить сведения о его заработной плате. В этом случае вы также передаете персональные сведения стороннему лицу, следовательно, независимо от того, когда этот работник был у вас трудоустроен, вы обязаны получить от него согласие на обработку его ПД.
Получается, что в целях соблюдения Закона № 152-ФЗ и во избежание штрафов Роскомнадзора, кадровой службе придется собрать со всех работающих сотрудников согласие на обработку их персональных данных независимо от момента приема на работу.
Сделать это можно путем оформления Согласия на обработку персональных данныхв одном экземпляре с приложением подписного листа, в котором все работающие сотрудники поставят свою подпись.
С вновь принятыми сотрудниками лучше оформлять Согласие на обработку ПД индивидуально, в порядке, указанном выше (отдельным листом или путем включения раздела «О защите персональных данных» в трудовой договор).
И еще один момент, на который следует обратить внимание – это защита персональных данных в информационных системах вашей организации. Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПД (п. 3 ч. 1 ст. 18.1, ч. 2 ст. 19 Закона № 152-ФЗ). Подробно рассматривать эту документацию мы не будем. Поскольку ее составление — это не бухгалтерская работа и не кадровая, а, скорее, системного администратора, или даже стороннего специалиста. Но в любом случае, доступ к информационным базам, содержащим персональные данные, должен быть ограничен, запаролен, защищен от вирусов. В обязательном порядке должны формироваться архивы данных на сервере, доступ к которым также должен быть разрешен только определенному кругу лиц.
