Ukkaskadgel.ru

Документооборот онлайн
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных что нужно знать организациям?

Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Рассказываем в подробностях, почему закон о персональных данных касается всех сайтовладельцев и как привести сайт в соответствие с требованиями закона.

Введение

На позапрошлой неделе после поста директора по продуктам Notamedia Алексея Бородкина, что Тамбовский суд оштрафовал одного из клиентов их агентства за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте, — среди участников digital-рынка поднялся серьёзный хайп.

Никто и подумать не мог, о том, что закон N 152-фз «О персональных данных» доберётся до сайтов. Хотя, на самом деле, такие случаи уже были. В феврале этого года случился инцидент с астраханскими сайтами с формой обратной связи, в которых не было согласия на обработку персональных данных. Компании-владельцы сайтов были оштрафованы на 10 000 рублей каждая.

И это еще цветочки, ягодки начнутся 1 июля 2017 года, когда произойдёт серьёзное ужесточение законодательства в области персональных данных, которое затронет владельцев сайтов и агентства, их разрабатывающие и обслуживающие.

Замеряем пульс российского диджитал-консалтинга

Какие консалтинговые услуги востребованы на российском рынке, и как они меняют бизнес-процессы? Представляете компанию-заказчика диджитал-услуг?

Примите участие в исследовании Convergent, Ruward и Cossa!

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Ужесточение законодательства по персональным данным

Не смотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и многие успели о нем позабыть, в нём происходили постоянные изменения. Все они обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 года вступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Какие изменения законодательства и позиции регулятора (Роскомнадзора) и судов уже влияют и повлияют в будущем на digital-рынок:

1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

2. Через 3 месяца, а именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:

3. Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;

закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;

Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

4. Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ссылаться.

Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Что делать игроку digital-рынка и владельцу сайта?

Чтобы не лить воду, опишу то, что как минимум нужно сделать агентствам, студиям и владельцам сайтов, чтобы не попасть на штрафы и не получить блокировку сайта.

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.

Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.

Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.

Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Читать еще:  Чем отличается сокращенное рабочее время от неполного

Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.

Материал подготовлен на основании опыта работы компании Б-152 и лично Максима Лагутина.

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.


О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.
Читать еще:  Каковы последствия непогашения кредита для заемщика?

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.


***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект 1 , разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Что нужно знать о защите персональных данных

Защита персональных данных сегодня является одной из центральных тем СМИ в России. Периодически в СМИ появляются новости об утечке личной информации клиентов крупных банков или операторов связи, пользователей интернет-магазинов.

Например, не так давно в открытом доступе оказались около миллиона анкет соискателей и данные полутора миллиона работодателей госпортала «Работа в России». Скорее всего, планировалось, что эти данные будут скрыты от интернет-пользователей. Однако персональная информация граждан все равно оказалась в открытой сети из-за недостаточно тщательной проверки при выгрузке базы.

В попытке предотвратить такие случаи и уберечь жителей страны от действий мошенников, использующих ваши личные сведения, Правительство уделяет все больше внимания контролю защиты персональных данных.

О решении проблемы

Где можно обучить сотрудников по защите персональных данных?

Куда обратиться, если Ваши данные все-таки попали в открытый доступ?

О решении проблемы

В 2019 году принят ряд поправок в ФЗ-152 «О персональных данных». Изменения регулируют режим использования, хранения персональных данных. Исполнение закона передано под контроль Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (подразделение Роскомнадзора).

Под требования попали все компании, которые осуществляют обработку данных в информационных системах персональной информации граждан. Не важно, какая у организации сфера деятельности – социальное обслуживание, юридическая помощь, образование и др. Это может быть администрация района, школа, поликлиника. Любая организация вне зависимости от её формы собственности, размера и сферы деятельности должна следовать требованиям этого закона.

Согласно требованиям ФЗ-152, руководитель организации, которая принимает документы у граждан, должен назначить ответственного за организацию обработки персональных данных. Ответственный в свою очередь обязан пройти обучение и инструктаж по правилам обработки и хранения персональных данных.

Для недобросовестных организаций новой редакцией закона предусмотрены внушительные штрафы. Например, за сбор электронной почты без согласия владельцев, возможен штраф от 15 000 до 75 000 рублей. Если не опубликовали политику конфиденциальности – 30 000 рублей. Если проигнорировали запрос клиента о запрете хранения его персональных данных – 40 000 рублей. При чём штраф могут взыскать за каждое нарушение. А значит любая организация может понести серьёзные финансовые потери.

Где можно обучить сотрудников по защите персональных данных?

В АБиУС запущена новая программа повышения квалификации «Защита персональных данных» для руководителей организаций, заместителей, ответственных за защиту персональных данных, специалистов по кадрам, сотрудников, осуществляющих работу с персональными данными.

Срок обучения – 36 ак.ч.

Выдаваемый документ – удостоверение о повышении квалификации.

Обучение по программе позволит быть в курсе последних изменений ФЗ-152 «О персональных данных» и грамотно осуществлять должностные обязанности в сфере защиты персональных данных, избежать штрафных санкций.

Куда обратиться, если Ваши данные все-таки попали в открытый доступ?

Если Вы обнаружили на просторах Интернета свои личные данные или фотографии, размещенные без вашего разрешения, воспользуйтесь нашей инструкцией:

1. Напишите напрямую на электронную почту администрации сайта. Попросите удалить ваши персональные данные, ссылаясь на ФЗ-152 «О персональных данных».

2. Если реакции не последует, напишите обращение в Роскомнадзор. В сообщении следует уточнить адрес сайта или URL страницы, на которой Вы обнаружили свои данные.

3. Если Вы считаете, что данные опубликованы, чтобы намерено навредить вам, обратитесь за помощью к юристу.

4. Помните, что госорганы по юридическим вопросам общаются с гражданами только в письменной форме. Поэтому вдвойне внимательно относитесь к звонкам и сообщениям, поступающим с незнакомых или подозрительных номеров, не указывайте в ответ свои личные данные, а лучше просто игнорируйте.

Будь всегда в курсе! Подпишись на новости: Подписаться

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Читать еще:  Какие бывают структурные подразделения организации

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector