Русский Аудит
Русский Аудит

Ваш источник информации по вопросам бухгалтерии и аудита

Какие уведомления подавать в роскомнадзор в 2024 году: виды, сроки и новые штрафы

Опубликовано: Советы бухгалтеру
Как избежать штрафов при работе с персональными данными? 7 главных мифов

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

  • Скачать бланк приказа о назначении ответственного лица за обработку персональных данных
  • Скачать образец приказа о назначении ответственного лица за обработку персональных данных

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Действия с персональными данными

Персональные данные физлиц запрашиваются не из праздного любопытства. Так, если говорить о работниках, то статья 65 ТК РФ обязывает при приёме на работу предъявлять определённые документы (паспорт, трудовая книжка, СНИЛС, диплом и др.).

При подписании договора стороны указывают не только реквизиты компании, но и свои персональные данные, например, полное имя директора. Без этого договор не имеет юридической силы. Личные сведения о себе оставляет клиент или покупатель при заказе, а пользователь личного кабинета – при регистрации на сайте.

Таким образом, получение персональных данных – необходимое и обязательное условие многих гражданско-правовых и хозяйственных действий.

Субъекты, которые получают эти сведения, признаются операторами ПД. В отношении полученной информации они могут осуществлять разные действия: собирать, записывать, накапливать, хранить, использовать, передавать, анализировать, блокировать, уничтожать.

Очень важно не допускать при этом утечки персональных данных, потому что они могут использоваться третьими лицами в неблаговидных и даже преступных целях. Для полноценного контроля все операторы обязаны подавать уведомление об обработке персональных данных в Роскомнадзор

Только после этого действия с ПД могут признаваться легитимными.

Будьте готовы к проверкам и помните об ответственности

Максим Лагутин, сооснователь консалтинговой компании Б-152:

Роскомнадзор проводит плановые и внеплановые проверки.

К плановым проверкам относятся выездные и документарные. В первом случае сотрудники ведомства приходят лично, во втором – просят предоставить заверенные копии документов. Компании получают уведомления за 3 дня – обычно это сообщение на имейл с уведомлением, подписанным электронно-цифровой подписью. Имейл орган берет из уведомления об обработке персональных данных, которое ранее направлял оператор.

Сейчас возможны как плановые, так и внеплановые проверки. Плановые проверки проводят с применением риск-ориентированного подхода в отношении операторов, которые относятся к категории высокого риска4. Внеплановые проверки инициируют в случае утечки данных5.

Проверочные мероприятия проводят и без взаимодействия с оператором. Роскомнадзор может изучить сайт компании и направить требование об устранении выявленных нарушений. Например, нарушением будет считаться установка на сайте кода JavaScript, чтобы сервис Google Analytics собирал статистику о посетителях, если об этом нет информации в политике обработки ПД.

Роскомнадзор может проверить наличие на сайте обработки cookie-файлов, отражение этой обработки в политике и ее соответствие п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ

Или может обратить внимание на формы сбора персональных данных («задайте вопрос», «обратная связь» и т.д.) – размещены ли под ними формы согласий на обработку ПД.

Привлекут внимание Роскомнадзора крупные компании, которые работают с большим объемом конфиденциальной информации, в том числе с биометрическими данными и специальными категориями ПД. Особенно если организация допускает нарушения и ей регулярно назначают штрафы

Также проверяющих заинтересуют компании, которые: осуществляют трансграничную передачу данных в недружественные страны; не проводят локализацию баз данных на территории России; обрабатывают данные несовершеннолетних в случаях, которые не описаны в законе или имеют иные цели.

После проверки компанию могут оштрафовать, например по ст. 13.11 или ст. 19.7 КоАП РФ. Чаще штрафы назначают за обработку избыточных данных, отсутствие в общем доступе политики обработки ПД, невыполнение требований субъекта ПД, несоблюдение условий по обеспечению сохранности ПД. Самый большой штраф предусмотрен за невыполнение требований по локализации ПД – при повторных нарушениях он составляет от 6 до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ).

Для снижения рисков важно настроить внутренние системы обработки ПД и вести учет процессов обработки ПД, чтобы понимать, с какими данными и субъектами ПД вы работаете. Также необходимо назначить ответственного за организацию обработки ПД и провести обучение персонала, чтобы избежать нарушений в области персональных данных (п

1 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Операторы персональных данных

Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.

Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.

Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:

  • сведения используются органами защиты безопасности государства и общественного порядка;
  • информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
  • данные обрабатываются без использования средств автоматизации, то есть только на бумаге.

Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:

  • получение информации только для исполнения договора, заключённого с субъектом персональных данных;
  • оформление разового пропуска для прохода на охраняемую территорию;
  • распространение личной информации с согласия самого субъекта;
  • обработка данных, включающих только имя, отчество, фамилию человека;
  • обработка данных участников общественных объединений и религиозных организаций.

С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.

Персональные данные — понятие и состав

Согласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей

Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных. Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  • имя, фамилию и отчество;
  • дату и место рождения;
  • номер телефона;
  • адрес пребывания;
  • данные об образовании и профессии;
  • сведения о семейном, имущественном положении, доходах и т. п.

Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д. При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме. Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных. Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.

Ограничения на сбор и обработку персональных данных

Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона. Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:

  1. Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
  2. Для защиты жизни, здоровья и иных значимых интересов гражданина.
  3. В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.
  4. В иных ситуациях по просьбе или с разрешения гражданина.

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  • объем и характер собираемой информации должны соответствовать поставленной цели;
  • недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;
  • хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.
  • Скачать бланк акта определения уровня защищенности персональных данных
  • Скачать образец акта определения уровня защищенности персональных данных

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Обязанность хранить доказательства уничтожения ПД в течение 3 лет

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись

Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

  • Организационная.

    Определяет задачи, функции и объем ответственности сотрудников, которые проверяют и отвечают за сбор, обработку и сохранность конфиденциальных сведений работников.

    Сюда относятся:

    1. должностные инструкции;
    2. положение;
    3. уведомления, письма;
    4. акты, приказы (о допуске сотрудников к работе с ПД).
  • Технологическая.

    Сведения из этой группы документов определяют порядок и способы реализации обеспечения защиты.

    Сюда относятся:

    1. инструкции по обработке данных;
    2. перечни.
  • Методическая.

    Детализация процессов обработки, порядок и правила работы с ПД.

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.
На нашем сайте есть другие материалы, посвященные вопросам защиты ПД

Прочтя их, вы узнаете:

  • Какие уполномоченные органы по защите прав субъектов персональных данных существуют?
  • Что такое политика обработки и защиты ПД?
  • Как организовать и внедрить защиту данных в различных организациях?

Вопросы, на которые были даны ответы

Добрый день!Пришел запрос от ФСБ России с требованием предоставить всю информацию по всем работникам организации: ФИО, должность, паспорт, регистрация, соторый личный и рабочий, эл. почта. Ссылаются на п. М ст. 13 40_ФЗ. Могу ли отказать в передаче данных?

Добрый день. Наша компания в 2023 году заполнила на сайте Роскомнадзора данную форму и отправила Уведомление об изменении сведений об обработке персональных данных.Вопрос: Когда и как часто надо заполнять и отправлять данную Форму в Роскомнадзор, если ни каких изменений ПД в компании не произошло?

Добрый день. Существуют ли какие-либо особенности работы с персональными данными для общественных организаций, зарегистрированных как юридические лица, например, профсоюзов. В профсоюзной организации обрабатываются персональные данные следующих категорий: работники и члены их семей, члены профсоюза и члены их семей. Члены профсоюза являются работниками организации, в которой создан профсоюз (юридическое лицо)

Я пришла в компанию недавно. Если выяснится, что в реестре нет информации, что компания подавала уведомление в Роскомнадзор, какую дату начала указывать датой начала обработки ПД? Могут ли быть какие-либо последствия?

Наша компания оказывает услуги ведения КДП другим компаниям. Какие согласия от работников нужно брать в этом случае?

Добрый день! Подскажите, все документы хранятся в облаке, за которое мы платим юридическому лицу зарегистрированному и находящемуся на территории РФ. Но, сам сайт является зарубежным (Яндекс). Получается, мы передаем ПД и должны уведомить о трансграничной передаче?

В этом году компания переходит на кадровый электронный документооборот. Все согласия продолжаем собирать и хранить в бумажном виде?

Если при направлении в зарубежную командировку работник самостоятельно приобретет авиабилет и забронирует отель, нужно ли компании уведомлять Роскомнадзор?

Поясните пожалуйста при видео и фото съемке коллективных мероприятий компании требуется ли брать согласие от каждого участника данного мероприятия

Добрый день! Как исполнить все требования, если в компании работает 2 человека? Ведь даже комиссионно ничего сделать нельзя.

Добрый день. Скажите пожалуйста можно ли взять согласие на обработку персональных данных, на бланке направления на первичный медицинский осмотр?

На ИП эти требования распространяются или нет? Необходимо ли уведомлять Роскомнадзор об обработке персональных данных ?

Рассылка анонсов семинаров
Подпишитесь на рассылку, получайте самые выгодные предложения первыми!

Услуга оказывается в рамках договора публичной оферты

Новые штрафы за неуведомление Роскомнадзора

В настоящее время нет отдельной нормы, предусматривающей самостоятельные штрафы за непредставление уведомлений в Роскомнадзор. Нарушителей штрафуют по общей ст.19.7 КоАП РФ, устанавливающей штрафы за непредставление сведений и информации в контролирующие государственные органы. 

В соответствии с данной нормой несдача в Роскомнадзор обязательных уведомлений грозит должностным лицам организаций и ИП штрафом в размере от 300 до 500 рублей, а организациям – от 3 000 до 5 000 рублей. Штрафы в подобных размерах не останавливают недобросовестных операторов персональных данных от несдачи уведомлений.

Уже принятый в первом чтении законопроект № 502104-8 вводит специальные штрафы за несдачу уведомлений в Роскомнадзор в повышенном размере. В этих целях законопроект дополняет действующую ст.13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных) новыми частями.

Согласно ч.10 ст.13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:

  • от 30 000 до 50 000 рублей – для должностных лиц организаций;
  • от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
  • от 100 000 до 300 000 рублей – для организаций.

По новой ч.11 ст.13.11 КоАП РФ для компаний будут введены штрафы за неуведомление Роскомнадзора об утечке персональных данных. Данное нарушение повлечет наложение штрафов в размере:

  • от 400 000 до 800 000 рублей – для должностных лиц организаций;
  • от 1 млн до 3 млн рублей – для индивидуальных предпринимателей;
  • от 1 млн до 3 млн рублей – для организаций.

Планируется, что эти штрафы будут введены в действие уже в 2024 году. Срок начала их применения, намеченный законопроектом, – по истечении 30 дней после дня официального опубликования закона.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Требования к передаче персональных данных

  1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
  2. Запрет на коммерческое использование полученных данных.
  3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
  4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
  5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:
    • категории персональных данных;
    • кем используется система;
    • режим и объем обрабатываемой информации;
    • тип и структуру системы;
    • расположение технических средств;
    • подключение к другим сетям связи.
  19. Правила обработки без применения автоматизированных средств.
  20. Инструкция по организации защиты пароля и антивирусного контроля.
  21. Форма акта по утилизации документов, содержащих личную информацию.
  22. Журнал тестирования средств информационной защиты.
  23. Журнал по проведению инструктажа по безопасности системы.
  24. Журнал учета технических средств защиты информации.
  25. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  26. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  27. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  28. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  29. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  30. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  31. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Переход в цифру увеличивает риски

С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.

С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?

Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:

Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн. 

Unsplash

Как проверяют защищённость персональных данных

Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях оператором могут заинтересоваться ФСТЭК (если речь идёт о государственных организациях) и ФСБ (если речь идёт о криптографических методах защиты). 

У Роскомнадзора есть несколько способов проверить, как компания соблюдает закон.

Плановая проверка. Региональное отделение Роскомнадзора проводит плановую проверку раз в 3 года. Планы проверок размещаются на сайтах территориальных округов. Проверяющий орган потребует от оператора предоставить кипу документов, связанных с обработкой персональных данных: начиная от типового согласия на обработку ПДн до модели угроз ИСПДн. Конкретный список документов, который нужен при проверке, в законе не определён. Проверяющий вправе общаться с сотрудниками оператора, проверять дела уволенных. 

К такой проверке нужно отнестись ответственно: собрать весь пакет документов за пару дней получится только у малого бизнеса. Для крупных и средних компаний рекомендуется выстроить в компании постоянный процесс по соответствию законодательству. 

Внеплановая проверка. Если Роскомнадзор сочтёт, что оператор нарушает законы о персональных данных, то он может прийти с внеплановой проверкой. За сутки до неё он должен уведомить оператора.

Запрос. Роскомнадзор может направить запрос к оператору, например, объяснить жалобу со стороны физлица и запросить перечень документов.

Мониторинг. Сотрудники Роскомнадзора могут вручную или в автоматическом режиме проверять сайт оператора на нарушения.

Обеспечьте безопасность персональных данных

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности:

Как только компания получила персональные данные клиентов, сотрудников или контрагентов, у нее возникает обязанность по соблюдению конфиденциальности ПД. Она должна защищать данные и не допускать утечек (ст. 7 Закона № 152-ФЗ). Безопасность ПД обеспечивается комплексом мер правового, организационного и технического характера (ст. 19 Закона № 152-ФЗ).

Правовые меры защиты ПД

1. Принятие локальных нормативных актов и организационно-распорядительных актов:

  • положения (политики) по обработке и защите ПД;
  • положения о порядке уничтожения ПД;
  • политики обработки ПД пользователей сайтов;
  • положения о внутреннем аудите работы с ПД;
  • приказа о назначении ответственного по работе с ПД и др.

2. Оформление отношений с субъектами ПД и контрагентами, для чего могут понадобиться:

  • соглашения о неразглашении конфиденциальной информации;
  • поручения обработки ПД;
  • согласия субъектов ПД.

3. Взаимодействие с Роскомнадзором, для чего пригодятся:

  • уведомление о начале обработки ПД;
  • информационное письмо о внесении изменений в ранее поданное уведомление о начале обработки ПД;
  • уведомление о намерении осуществлять трансграничную передачу ПД;
  • уведомление о прекращении обработки ПД;
  • согласия субъектов ПД.

Организационные меры защиты ПД

Назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.

Меры технического характера

Похожие записи:

  1. Реестр проверок «комплан»
  2. Как рассчитать отпускные в 2024 году и что делать, чтобы увеличить сумму
  3. В честь всемирного дня шопинга 11.11 инфостарт объявляет распродажу авторских разработок
  4. Как закрыть ип и не оставить долгов
0
Понравилась статья? Поделиться с друзьями:
Русский Аудит

Похожие записи:

  1. Реестр проверок «комплан»
  2. Как рассчитать отпускные в 2024 году и что делать, чтобы увеличить сумму
  3. В честь всемирного дня шопинга 11.11 инфостарт объявляет распродажу авторских разработок
  4. Как закрыть ип и не оставить долгов
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.