Персональные данные работника: миллионные штрафы за утечку

Что делать, если данные используются без вашего согласия

В первую очередь просмотреть – являются ли они специальными ПД и запрещено ли их распространение. Если закон нарушен – в срочном порядке нужно обратиться в полицию с заявлением, где чётко указать обстоятельства и время кражи. Сослаться на статью 137 УК РФ. В зависимости от классификации и элементов преступления, можно рассчитывать на возмещение в виде выплаты, размером 1 000 – 50 000 рублей. Для должностных лиц штраф намного выше. Уголовная ответственность предусматривает лишение свободы сроком до 2 лет (максимальная мера пресечения).

Надеемся, что наша статья помогла читателю разобраться с вопросами ПД. Помните, что законы и права человека в РФ нарушаются ежедневно, а за помощью в правоохранительные органы обращаются только единицы. Если читатель стал жертвой или свидетелем кражи персональной информации – молчать нельзя. Сегодня это чужие права, завтра – ваши.

Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?

Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:

• получены от работников;

• получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;

• являются общедоступными ПДн;

• включают только ФИО субъектов ПДн;

• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;

• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление. На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией. Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм. Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое. Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.

Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте. При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг. Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.

Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору. Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

• обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
• используете специализированные компьютерные программы для обработки сведений о работниках;
• применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.

В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.

Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:

1. Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в  от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.

2. Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.

3. Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).

4. Заблаговременное размещение графических и\или текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения и\или организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.

Пошаговая инструкция

Правила, цели и нормы обработки персональных данных определены главой 2 Федерального закона №125 от 27.07.2006г. (ред. 29.07.2017г.). Пошаговый процесс обработки индивидуальной информации работника включает в себя следующие этапы:

1. Получение персональной информации о конкретном, принимаемом на работу, сотруднике.
2. Занесение учетных данных в соответствующие документы или электронную базу.
3. Обработка имеющихся сведений автоматизированным либо ручным способом.
4. Хранение данных с периодическим обновлением и уточнением (подробнее о порядке хранения и использования персональных данных работников на бумажных и электронных носителях читайте в этом материале).
5. Правомерное извлечение информации, ее использование и передача.
6. Блокировка сведений или их уничтожение.

Правовой контроль за работой с индивидуальными данными включает в себя регулирование всех процессов и стадий работы с ними.

• Скачать бланк заявления на обработку персональных данных
• Скачать положение о порядке обработки персональных данных
• Скачать бланк приказа об утверждении положения обработки персональных данных работника

Подробнее о заявлении на обработку и на другие операции с персональными данными работника узнайте тут.

Требования к защите

Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.

Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.

Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.

Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

Специальные категории

Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

• Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
• Обработка ПД, перечисленных в пункте 1, допускается.

Но при условии, если:

1. на обработку ПД получено письменное разрешение от их владельца;
2. они общедоступны;
3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
4. она необходима при осуществлении судебных мер;
5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.

• Обработка ПД о судимости может осуществляться государственными или муниципальными органами в соответствии с ФЗ РФ.
• Обработка ПД, которая указана в пунктах 2 и 3, обязана сразу же быть приостановлена при прекращении действия причин, из-за которых она осуществлялась.

Нормативная база

Перечень законов о персональных данных:

• Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
• Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
• Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
• Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
• Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
• ГОСТы по информационной безопасности и защите информации;
• ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
• ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
• ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
• ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
• ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
• ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Разновидности ПД

В Федеральном з-не № 152 обозначены конкретные виды ПД. Они могут классифицироваться по степени секретности, сложности их сбора, возможности применения третьей стороной. Их подразделяют на следующие виды:

• общие;
• биометрические;
• специальные;
• обезличенные.

Общие

К общим относят персональную информацию, составляющую базовые данные о ее носителе:

• фамилию, имя, отчество;
• место регистрации и жительства;
• информацию из паспорта;
• сведения об имеющемся образовании;
• информацию о месте работы;
• сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.

Информация о человеке, являющаяся общей, указана в паспорте, ее вносят в военный билет, в документ об образовании, а также в личную карту сотрудника предприятия, трудовую книжку и др. Чтобы использовать такие данные, не нужно брать у сотрудника письменное разрешение с целью их получить. Достаточно того, чтобы человек косвенно, путем проставления галочки в соответствующем поле, подтвердил право на такие действия со стороны получателя этой информации в письменно составленной или онлайн-анкете.

Получить такие ПД очень просто, а это зачастую приводит к проблемам: начинают рассылать навязчивые рекламные предложения или, еще хуже, пытаются шантажировать, подделывать заявки на получение займа и др.

От неразглашения личные данные каждого физлица, содержащие в себе определенные разновидности секретных сведений (об усыновлении, наличии заболеваний и др.), защищаются ст. 137 УК РФ.

Биометрические

Есть персональные данные, которые характеризуют носителя по биологическому и физиологическому принципу. К ним относят:

• дактилоскопические;
• анализ ДНК;
• группу крови;
• рост, цвет глаз, вес и др.

К биометрическим персональным данным причисляют информацию, получаемую в результате видео- и фотозаписи с участием человека. Данные биометрии наиболее часто востребованы во время проведения лечения, при оформлении на работу в госструктуры, при изготовлении загранпаспорта и визовых документов.

Специальные

К специальным ПД отнесены национальная принадлежность и раса, а также вероисповедание, убеждения философского характера, информация о судимостях, состоянии здоровья, предпочтениях в сексуальной, интимной жизни. Эти сведения можно найти в личных делах, медицинской документации и пр. Они необходимы во время проведения политических мероприятий, используются при вступлении в ряды вооруженных сил. Чтобы третьи лица могли получить доступ и воспользоваться этими ПД, необходимо получить разрешение их владельца.

Обезличенные

К обезличенным данным относят ПД, имеющие общую доступность. Их можно найти в адресных книгах, справочной документации, в средствах массовой информации. Информация, являющаяся общедоступной, может легко быть использована заинтересованными лицами. Общедоступными являются данные о материальном положении политических деятелей, представителей власти, чиновников, занимающих руководящие посты.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

• компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
• объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
• форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

Из чего состоят персональные данные

Обрабатываемые персональные данные работника регламентируются Основным Законом РФ, ТК РФ и прочими частями федерального законодательства. В целом документацию по этому вопросу можно условно разделить на две большие категории:

• предоставляемая самим работником;
• собранная работодателем.

Первая категория предъявляется в момент заключения трудового договора. К таким ПДн работника относятся:

• ФИО, номер телефона, адрес проживания, прописки;
• идентификационные страховые документы;
• трудовая книжка;
• пенсионное удостоверение;
• документы, подтверждающие основания для предоставления льгот;
• дипломы и иные подтверждающие образование и наличие профессии документы;
• фотокарточки;
• документы относительно воинского учета;
• документы, подтверждающие семейное положение и т. д.

Каждый пункт этой категории попадает под основной принцип защиты персональных данных работника – обеспечение максимальной конфиденциальности. Оперировать такими сведениями могут только государственные силовые структуры, исключительно в условиях необходимости и в большинстве случаев – с прямого разрешения работника.

Второй категорией ПДн занимается работодатель. Сюда входят все бумаги, касающиеся карьеры и финансового положения штатных и внештатных сотрудников. Вторая категория отражает любые изменения на рабочем месте сотрудника, фиксацию времени проведения отпусков, больничных листов, базовую ставку (если таковая есть), тарифную сетку на сдельные работы (если таковые есть), сверхурочные, нематериальные поощрения штатного персонала, как индивидуальные, так и групповые. Вся эта информация, за очевидным исключением финансовой, обычно носит меньшую степень конфиденциальности.

Способы защиты личной информации и предохранительные меры

• Ограниченный доступ к хранилищам и архивам материалов;
• Верификация запрашивающего лица перед предоставлением информации;
• Ознакомительный формат предоставления сведений;
• Санкции и штрафы за нарушения правил.

Технические:

• Криптография и шифрование данных;
• Создание отдельных серверов и каналов связи;
• Уничтожение неактуальных материалов;
• Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

• Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
• Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
• Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

• Разработка проекта алгоритма обработки персональных сведений;
• Разработка системы согласия и отказа на обработку личных материалов;
• Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
• Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
• Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
• Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

• историю посещений;
• ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
• какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
• поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Определение

Законодатель подразумевает, что это сведения, которые относятся к работнику. Отношение может быть прямым или косвенным. Информация относится к определенному человеку. Закон не отражают список того, что включено в персональные данные. Отражены общие принципы, относящиеся к понятию.

Юристы говорят, что определение оценочное. Информация предоставляется во время заключения трудового соглашения. Сотрудник может подписать согласие, чтобы сведения получены были от третьего лица. Такая категория не может включать в себя сведения обезличенные.

В перечень данных включается:

• фамилия и инициалы;
• день, когда человек появился на свет;
• место, где он прописан;
• семейное и материальное положение;
• наличие образования;
• какая профессия получения;
• уровень доходов.

Федеральный закон № 152-ФЗ указывает на другие данные. К ним отнесена информация о принадлежности к расе, национальности. Убеждения и состояние здоровья входят в эту группу. Сведения отражены в документации. Это может быть:

1. Акт, посредством которого удостоверяется личность.
2. Трудовая книжка.
3. Справка, взятая с прошлых мест работы.
4. Личная карточка и т. д.

Работодатель хранит перечисленные акты в копиях. В качестве исключения выступают анкеты, карточки сотрудников и трудовые книжки.