Персонал личные данные

Рубрики Новости

Содержание:

Всё, что нужно знать о персональных данных

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Статья про закон о персональных данных неожиданно для нас вызвала много вопросов у читателей. Неожиданно, потому что закону уже больше десяти лет. За нарушение этого закона и сейчас могут штрафовать: его нужно было соблюдать и год назад, и сегодня. Просто с 1 июля 2017 года всё станет серьезнее.

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Статья в Тинькофф-журнале не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными и как всё оформить, обратитесь за профессиональной помощью.

Объясните вкратце для тех, кто не в курсе

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Нормы защиты персданных придумали не в России. Правила их обработки ООН описала еще в 1948 году во Всеобщей декларации прав человека. В 1981 году Совет Европы принял конвенцию по обработке персональных данных. А Россия ее ратифицировала и в 2006 году разработала свой закон.

В Европе паранойя по поводу персданных уже давно

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку.

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

Закон о персональных данных прописывает для всех правила игры. Он заставляет всех принимать дополнительные предосторожности, но и защищает он тоже всех.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП , государственный орган или обычный человек, который создал и администрирует форум по интересам. Точное определение, кто является оператором и что такое обработка персональных данных, есть в 3 статье закона.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка — оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым . Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы — являются.

Сам по себе логин — это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени — название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы . Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Например, вы получили рассылку, на которую не подписывались, или вам звонят менеджеры из интернет-магазина, хотя вы не соглашались на рекламный обзвон. Или автосалон без разрешения передал ваш телефон страховому агенту, и теперь вам пытаются впарить каско. Можно потребовать удалить данные из базы, пожаловаться в Роскомнадзор и возместить ущерб через суд. Для этого нужно быть уверенным, что согласия не было, а данные передали незаконно. Иногда согласие получают через договор присоединения или законно передают данные, чтобы выполнить условия договора.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

  • доменное имя связано с РФ или субъектом;
  • есть русскоязычная версия сайта;
  • расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
  • потребители содержимого сайта — россияне;
  • есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года — 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц . Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука согласились на обработку данных о своем местоположении, используемых устройствах, друзьях, интересах, платежах, посещенных сайтах и связях с другими людьми. И даже на то, что фейсбук может получить доступ к адресной книге на любом устройстве и потом использовать эти данные.

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Все согласились на то, что эти данные фейсбук передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно и за это отвечает фейсбук, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.

Геннадий сам сделал свои данные общедоступными , чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он должен предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Единственное исключение для общедоступных данных: оператор таких данных может не подавать уведомление в Роскомнадзор. Но получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца он обязан.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Конкретной формы, в которой его нужно получать от посетителя и клиента, нет. Это может быть ссылка на пользовательское соглашение в ответном письме или галочка в форме регистрации.

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели не могут быть одинаковыми. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из ст. 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Заверьте страницы сайта с документами по поводу персональных данных у нотариуса, чтобы вас не обвинили в их отсутствии или изменении формулировок.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Закон о персональных данных — это не страшно

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;

наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Всем владельцам сайтов – с 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

Мы упростили для вас работу по соблюдению требований закона.

Зина Панина
Маркетолог

В феврале 2017 внесены поправки в статью 13.11 КоАП о нарушении закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Что такое персональные данные?

Это личные данные, по которым человека можно идентифицировать. Например, номер телефона, электронная почта являются персональными данными, а просто имя и логин — нет. Если у вас есть форма обратной связи, личный кабинет, кнопка для быстрого звонка, чат на сайте – вы должны соблюдать закон о защите персональных данных и вам нужно подготовиться к проверке.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Мы упростили для вас работу по соблюдению требований закона. Для клиентов вашего сайта JivoSite разместил документ согласия на обработку персональных данных в виджете. Вашему клиенту нужно поставить галочку перед началом диалога, подтвердив, что с согласием ознакомлен и сбор данных разрешает.

Чтобы в окне чата появилась галочка, нужно включить функцию “Запрос согласия на обработку персональных данных” в Панели управления. Теперь, когда посетитель укажет свои данные в форме ввода контактов или обратного звонка, ему отобразится окно с текстом согласия и ссылкой на пользовательское соглашение:

Для включения этой функции нужно зайти в Панели управления и под названием сайта нажать на кнопку Настройки, затем перейти в раздел “Согласие на обработку персональных данных”.

Что еще нужно сделать?

Разместить у себя на сайте публичные документы, в которых вы пропишите условия обработки персональных данных. Если у вас пока нет собственного документа с пользовательским соглашением, вы можете воспользоваться нашим вариантом, доступным по умолчанию. Для этого нужно указать название компании и юридический адрес. А если своё соглашение уже есть — укажите в настройках ссылку на него. Каждый сайт можно настроить отдельно, например, не использовать эту настройку на сайтах с другими языками, кроме русского, или указать разные ссылки или разные реквизиты на разных сайтах.

Чтобы убедиться, что на сайте нарушений нет, нужно внимательно изучить сам закон. Министерство связи даёт ответы на часто задаваемые вопросы

Что делать, если я не знаю, как составить такие документы?

Наши партнеры из LogicDoc вам помогут. Ребята сделали сервис, который создает нужные документы бесплатно. Зарегистрируйтесь, оставьте нужные данные, и LogicDoc составит вам необходимое соглашение, гарантирует его правильность и ответит на все ваши вопросы о нарушении хранения персональных данных, как проходят проверки, нужно ли уведомлять Роскомнадзор и так далее.

Команда Jivo желает вам избежать штрафов и претензий со стороны Роскомнадзора и делает всё возможное для этого с нашей стороны. Однако, согласно разделу 7 Лицензионного договора мы не несём ответственности и не компенсируем убытки, понесённые вследствие использования приложения JivoSite, в том числе в случае штрафа, поэтому внимательно отнеситесь к тому, чтобы обеспечить полное соблюдение законодательства.

170 206 сайтов доверяют JivoSite

JivoSite помогает превратить посетителей сайта в покупателей. Установите JivoSite сегодня и получите месяц Профессиональной версии бесплатно

  1. На главную
  2. Блог
  3. Тренды
  4. Всем владельцам сайтов – с 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

Господин Никто

Сегодня «Российская газета» публикует приказ Роскомнадзора о требованиях и методах по обезличиванию персональных данных, обрабатываемых в информационных системах. Что же означает этот термин? «Обезличивание персональных данных позволяет без сложного шифрования убрать риск их неправомерного использования — даже если данные в открытом виде попадутся мошеннику или случайно будут переданы по обычным каналам, определить, на кого конкретно совершать атаку, будет сложнее», — объясняет риск-менеджер Ангелина Крашенинникова.

Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных в России, установил требования и методы, по которым такая информация должна быть обезличена. Это, кстати, по Закону «О персональных данных» надо делать обязательно, чтобы невозможно было установить личность гражданина, информацию о его месте жительства, интересах, покупках и здоровье. Как показывает зарубежный опыт, обезличивание — один из наиболее эффективных способов не причинить вред конкретному гражданину в случае утечки его персональных данных из информационных систем, в первую очередь создаваемых и используемых для предоставления госуслуг и в рамках федеральных целевых программ, отмечают в Роскомнадзоре.

В ближайшее время на сайте Роскомнадзора (www.rkn.gov.ru, роскомнадзор.рф) будут размещены разъяснения по применению утвержденных методов и требований по обезличиванию персональных данных. Разъяснения также направят операторам персональных данных государственных и муниципальных органов. А в 2014 году Служба намерена завершить работы по автоматизации процессов мониторинга нарушений, связанных с персональными данными. Наблюдение будет вестись отдельно в каждой из сфер распространения персональных данных: в Сети, в СМИ, в рекламе, в ЖКХ. По сути, это будет набор критериев, который сможет из большой массы информационных носителей вылавливать потенциальных нарушителей.

Роскомнадзор вместе с законодателями и другими госведомствами в последнее время создали довольно серьезный инструмент для контроля и борьбы с нарушениями закона о персональных данных. Введены новые составы преступлений, теперь их перечень покрывает практически все возможные нарушения в этой сфере. Но это не единственная сторона деятельности службы, отметили в Роскомнадзоре. Служба пытается применять также и «пряники». Как раз обезличивание является одной из мер стимулирования законопослушного поведения операторов. Оно сильно упрощает им жизнь. При этом еще и успокаивает граждан, которые получают больше гарантий в сохранности своих данных. Есть еще одна «негласная пряничная мера» — в случае, когда на организацию не поступает жалоб о нарушении прав субъектов персональных данных, Служба ставит ее в конец очереди на включение в план проверки. Есть и другие идеи по стимулированию ответственного и саморегулируемого поведения операторов персональных данных, но они требуют обсуждения. Хотелось бы на эту тему получить больше предложений, отметили в Роскомнадзоре. Все-таки операторам виднее, что их будет стимулировать «держать под замком» персональные данные.

Чаще всего данные утекают из-за социальной инженерии, халатности или пренебрежения безопасностью, продолжает риск-менеджер Банка 24.ru Ангелина Крашенинникова. Бывает, что персональную информацию сливают в широкий доступ инсайдеры — люди, имеющие непосредственный доступ к данным. «В последнее время с ростом покупок онлайн утечка персональных данных становится одной из главных проблем не только в России, но и во всем мире, — говорит Неманья Никитович, управляющий директор группы Optima Infosecurity (Группа Optima). — Типичный пример — покупка билета через Интернет, когда пользователь должен указать полную информацию о себе. Последнее особенно интересует мошенников, поскольку в этом случае в Сеть попадает большое количество персональных данных. А самым распространенным способом обмана становится фишинг. Фишинговые письма легко замаскировать под поздравления. Снабжают открытку вредоносным кодом — и дело сделано. Аналогичным образом шпионские программы попадают и на телефоны клиентов банков. Здесь в ход идут фальшивые СМС-поздравления. Не так давно была поймана группа мошенников, рассылавших сообщения от имени ЦБ РФ».

Персональные данные сотрудников: обеспечение сохранности

Далеко не все компании уделяют должное внимание сохранности персональных данных своих сотрудников. Между тем санкции за такие нарушения скоро будут увеличены. О том, как не допустить нарушений, за которые положены штрафы, мы и поговорим в данной статье.

Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных», обеспечить безопасность этой информации.

Правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Какие данные являются персональными

Согласно Трудовому кодексу РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Закон о персональных данных расширяет и уточняет понятие.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным.

Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте;
  • военном билете (у военнообязанных);
  • свидетельстве о присвоении ИНН;
  • страховом пенсионном свидетельстве;
  • документах об образовании (в т. ч. и дополнительном образовании, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
  • водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных (сбор, систематизация, накопление, хранение, уточнение, уничтожение, использование, распространение и передача) трактуется законодательством как «обработка персональных данных». Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений.

Так, работодатель не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Кроме этого, работодатель должен соблюдать следующие требования:

  • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций; передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Документы для работы с персональными данными

Для того, чтобы обезопасить себя во время проверки сохранности персональных данных, в компании должны быть следующие документы, которые можно будет предъявить по требованию проверяющих:

  • положение о персональных данных;
  • приказ о назначении ответственных за работу с персональными данными;
  • приказ о назначении ответственных за обеспечение безопасности персональных данных;
  • заявления работников о согласии на обработку персональных данных.

Положение о персональных данных

Во исполнение законодательства РФ, для обеспечения защиты прав и свобод работника каждая организация обязана разработать и принять положение о персональных данных сотрудников (далее – Положение). Этот документ определяет, какие именно сведения подлежат обработке и хранению на данном предприятии.

Положение относится к управленческой документации и утверждается приказом по организации. Его содержание должно быть разработано в соответствии с Конституцией РФ, Гражданским и Трудовым кодексами РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

В Положении должны содержаться следующие разделы:

  1. Общая информация.
  2. Основные понятия и состав персональных данных работников.
  3. Сбор, обработка и защита данных.
  4. Передача и хранение данных.
  5. Доступ к персональным данным работников.
  6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Перечень обрабатываемых данных сотрудников

Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Если в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т. п.), то эти отчеты тоже нужно включить в перечень. Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Штрафы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.

Следующий этап работы – подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников. Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты – первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно – Роскомнадзор). Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру.

Когда ознакомить нового сотрудника с Положением о персональных данных

Ознакомьте будущего сотрудника с Положением о персональных данных до подписания трудового договора (ст. 68 ТК РФ). Подтвердить, что работник прочитал Положение, можно его подписью:

  • в тексте трудового договора;
  • в листе ознакомления с Положением о персональных данных;
  • в журнале ознакомления с локальными актами.

Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть в организации (ст. 87 ТК РФ). Иначе компанию могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).

Согласие сотрудника на обработку персональных данных

Получить согласие нужно, если:

  • запрос информации о сотруднике поступил от сторонней организации;
  • работодатель направляет запросы в другие организации;
  • работодатель обрабатывает сведения о включенных в кадровый резерв;
  • обработка персональных данных родственников сотрудника превышает установленный объем (данных требуется больше, чем указано в личной карточке).

Персональные данные являются конфиденциальной информацией, а значит, к ней не должно быть свободного доступа, иначе она уже перестает быть таковой. В связи с этим передавать такие сведения о сотрудниках другим лицам работодатель вправе только с их письменного согласия.

Исключение из правил – ситуации, когда под угрозу ставятся жизнь и здоровье работников. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов.

Заявление-согласие адресуется работодателю в лице генерального директора. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации (ч. 3 ст. 6 Закона о персональных данных). Чаще всего это кадровики и бухгалтеры. Согласие может быть оформ­лено как на бумажном носителе, так и в электронном виде. Однако в этом случае его нужно подписать электронной подписью (ч. 4 ст. 9 Закона о персональных данных). Унифицированной формы согласия нет. Оно может быть оформлено в произвольной форме.

В заголовке необходимо указать, что это именно согласие на обработку персональных данных, а не что-либо иное.

Далее прописывается Ф. И. О. от руки самим проверяемым, затем серия и номер паспорта, кем он выдан. После чего указывается наименование той организации, которой проверяемый дает разрешение на проверку. В последующем необходимо указать основания проверки.

Обязательно подробно распишите, на что именно проверяемый дает свое согласие. В конце документа должна стоять подпись проверяемого лица.

Сотрудник, давший согласие на обработку своих персональных данных, в любой момент вправе отозвать такое согласие (ч. 2 ст. 9 Закона о персональных данных).

Если работник не согласен

Если работник не согласен на обработку персональных данных, разъясните последствия.

Объясните работнику, что без его согласия нельзя оформить полис ДМС, поздравить с днем рождения, сделать подарки детям на праздники, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, размещать информацию на портале компании. Как правило, при таких аргументах сотрудники меняют позицию и дают согласие на обработку данных.

Работодатель вправе обрабатывать персональные данные сотрудника без его согласия при условии, что их объем не превышает установленный законом. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные в случаях, которые предусматривают коллективный договор, локальные акты работодателя, принятые в порядке, установленном статьей 372 Трудового кодекса РФ.

Хранение персональных данных сотрудников

Федеральный закон от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» предусматривает хранение исключительно на российских серверах. Персональные данные сотрудников, содержащиеся в их личных делах, должны храниться в организации в течение 75 лет.

Обязательство о неразглашении персональных данных

Такое обязательство должен оформить каждый сотрудник, который имеет доступ к персональным данным других работников. Закон запрещает таким сотрудникам разглашать сведения, которые стали им известны в связи с выполнением трудовых обязанностей.

Прежде всего речь идет о работниках отдела кадров и бухгалтерии. Если они допустили огласку персональных данных, их можно привлечь к дисциплинарной ответственности вплоть до увольнения (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

Уведомление о получении персональных данных у третьей стороны

Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работника (п. 3 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ). В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.

Штрафы за нарушения скоро увеличат

Пока штрафы за нарушения в сфере охраны персональных данных не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют от 5000 до 10 000 рублей для организации и от 500 до 1000 рублей для ее руководителя, если в нарушении есть его вина.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее. Кроме того, Госдумой РФ уже принят законопроект, ужесточающий административную ответственность за нарушения при обработке персональных данных.

Теперь в случаях обработки персональных данных, не предусмотренных законодательством, а также несовместимых с целями сбора такой информации, размеры штрафов составят: от 1000 до 3000 рублей – для граждан, от 5000 до 10 000 рублей – для должностных лиц и от 30 000 до 50 000 рублей – для юрлиц.

Если «обработчик» забудет взять согласие гражданина на обработку информации о нем, штрафы соответственно составят: от 3000 до 5000 рублей – для граждан; от 10 000 до 20 000 рублей – для должностных лиц; от 15 000 до 75 000 рублей – для юридических лиц.

Наказывать планируют и за отказ оператора в предоставлении человеку информации об обработке его данных. Размеры штрафов: от 1000 до 2000 рублей – для граждан, от 4000 до 6000 рублей – для должностных лиц; от 10 000 до 15 000 рублей – для индивидуальных предпринимателей; от 20 000 до 40 000 рублей – для юрлиц.

Как подготовиться к проверке Роскомнадзора

Плановые проверки Роскомнадзор совершает нечасто (раз в три года), однако не стоит сбрасывать со счетов и внеплановые ревизии, которые могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Проверку также стоит ждать, если компания претендует на выполнение госзаказа.

Пожалуй, самый негативный фактор, свидетельствующий о том, что с обработкой персональных данных дела в компании обстоят не лучшим образом – хранение копий паспортов сотрудников в доступном месте. Это мгновенно породит у инспектора много дополнительных вопросов. Как и отсутствие заполненных бланков «согласия сотрудника на обработку персональных данных».

Инспектор может провести опрос среди персонала на предмет того, знают ли они, какие меры принимает фирма для защиты их персональных данных. Лучший способ избежать «минуса» в такой ситуации для руководителя – провести предварительный инструктаж по охране личных сведений.

Инга Светевич, эксперт по трудовому праву

Электронная версия журнала
«ПРАКТИЧЕСКАЯ БУХГАЛТЕРИЯ»

Лучшее предложение для тех, кому нужен минимальный бюджет и практическая информация по учету и налогам.

Еще по теме:

  • Статья конституции 114 Статья 114 Конституции Российской Федерации Последняя редакция Статьи 114 Конституции РФ гласит: 1. Правительство Российской Федерации: а) разрабатывает и представляет Государственной Думе […]
  • Проценты на валютные вклады сбербанк Валютные вклады Сбербанка На конец 2014 год Сбербанк России предлагает вкладчикам 6 видов простых валютных вкладов и 3 ОнЛ@йн вклада. Вклады можно оформить: в долларах США, в ЕВРО, а также […]
  • Адрес арбитражный суд спб Арбитражный суд г. Санкт-Петербурга и Ленинградской области Начало создания коммерческих судов в современном понимании относится к 1808 году, когда был утвержден коммерческий суд в […]
  • Франция уголовный кодекс 1810 г текст 15.24. Уголовный кодекс Франции 1810 г. Статья 4. Ни одно нарушение, ни один проступок, ни одно преступление не могут караться наказаниями, которые не были установлены законом до их […]
  • Ч 2 ст 75 тк рф Статья 75. Трудовые отношения при смене собственника имущества организации, изменении подведомственности организации, ее реорганизации, изменении типа государственного или муниципального […]