Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Документы по персональным данным: организация учета и хранения ПДн в организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон №
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Как и когда нужно уведомлять Роскомнадзор
Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.
Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.
Когда можно не подавать уведомление
Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
- персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
Штрафы за неуведомление Роскомнадзора
Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).
Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.
Является ли ваша организация оператором персональных данных?
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Ознакомление работников с Положением
Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
N п/п |
Наименование локального нормативного акта | Дата | Подпись |
1 | Правила внутреннего трудового распорядка ООО «Черный лес» |
03.10.2011 | Евстахов |
2 | Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» |
03.10.2011 | Евстахов |
3 | Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 |
03.10.2011 | Евстахов |
4 | Положение о персональных данных | 03.10.2011 | Евстахов |
5 | Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» |
03.10.2011 | Евстахов |
Штрафы за нарушения персональных данных
Нарушения:
1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.
2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.
Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступленияНаказание:
Предупреждение или штраф:
• гражданам — от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 30 тыс. до 50 тыс. руб.Судебная практика:
Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32
Что делать, чтобы избежать штрафа:
Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись
Нарушения:
1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных
Наказание:
Штраф:
• гражданам — от 3 тыс. до 5 тыс. руб.;
• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;
• организации — от 15 тыс. до 75 тыс. руб.
Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.
Судебная практика:
Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.
Что делать, чтобы избежать штрафа:
1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения
Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.
Нарушения:
1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.Наказание:
Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.
Что такое обработка персональных данных?
Под обработкой персональных данных понимают действия или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с помощью средств автоматизации. К обработке относят сбор, запись, систематизацию, накопление, хранение, уточнение, обновление и изменение, использование, передачу: распространение, предоставление и доступ, обезличивание, блокирование, удаление, уничтожение. Такое определение дано в положениях пункта 3 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ.
С обработкой персональных данных компания сталкивается, когда запрашивает сведения у сотрудника для заполнения трудового договора и личной карточки при приеме на работу. По закону обработчик должен совершать действия с данными только в определенных целях. Также он обязан получать данные у самого сотрудника. Если для этого нужно привлекать третьих лиц, то перед началом сбора информации необходимо получить письменное разрешение. В законе есть статья о специальных категориях персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и так далее. Обработка таких сведений не допускается, за исключением отдельных случаев, которые предусмотрены частями 2 и 2.1 статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Виды ответственности за нарушения в работе с персональными данными
За нарушения в работе с персональными данными предусмотрены разные виды ответственности: дисциплинарная, материальная, административная и даже уголовная.
Дисциплинарная ответственность может наступить для сотрудников, нарушивших правила работы с персональными данными. Это регулирует статья 192 ТК.
Если в результате неосторожных действий при работе с персональными данными, организации нанесен прямой ущерб, то в соответствии со статьей 238 ТК сотрудник привлекается к материальной ответственности.
При обнаружении нарушений при проверке Роскомнадзор вправе оштрафовать организацию в соответствии со статьями 13.11 и 13.14 КоАП. Размер штрафов зависит от вида нарушения. Для граждан, должностных лиц и организаций предусмотрены разные суммы.
Зачем формировать пакет документов?
Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:
- упорядочивания текущих операций;
- назначения ответственных лиц;
- внутреннего отслеживания процессов;
- предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
- поддерживать имидж надежной организации в глазах клиентов и партнеров;
- избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.
Что означает термин «персональные данные»?
Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:
К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.
При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.
При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).
При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.
И все эти данные, согласно нынешнему законодательству, подлежат защите.
Что такое система защиты персональных данных
Базовые требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Оно устанавливает параметры самих систем и определяет необходимые средства и методы обеспечения безопасности персональных сведений, размещенных в информационных базах данных. После изучения этого постановления становится понятно, что системы защиты персональных данных (СЗПД) характеризуются следующими параметрами:
- представляют собой комплекс мер и мероприятий, носящих как организационный, так и технический характер;
- эта совокупность призвана предотвратить нелегитимный доступ к персональным данным;
- система должна быть разработана с учетом актуальности текущих угроз;
- она разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности.