Практика. создание системы защиты персональных данных

С чего начать?

Администрация компании, решившей обрабатывать персональные данные, должна первым делом уведомить о своих намерениях Роскомнадзор в соответствии с приказом № 706 от 19 августа 2011 года «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерениях) персональных данных» и положений Федерального закона № 152 «О персональных данных» .

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора. Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

Чтобы проблем с Роскомнадзором не возникало, бланк готовится в соответствии с требованиями – пишется от руки или в электронном виде, но на фирменной бумаге юридического лица, с подписью уполномоченного гражданина, указанием контактных данных и перечнем видов ПДн, обработку которых планируется осуществлять.

В России действует следующая классификация:

• Персональные данные (относящиеся к физическому лицу).
• Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
• Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?

Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:

• получены от работников;

• получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;

• являются общедоступными ПДн;

• включают только ФИО субъектов ПДн;

• нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;

• включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление. На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией. Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм. Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое. Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.

Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте. При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг. Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.

Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору. Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:

• обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
• используете специализированные компьютерные программы для обработки сведений о работниках;
• применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.

В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.

Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:

1. Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в  от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.

2. Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.

3. Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).

4. Заблаговременное размещение графических и\или текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения и\или организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
5. Список помещений, где проводится обработка ПД.
6. Приказ об утверждении мест хранения ПД.
7. Проект информационной системы ЗПД.
8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
14. Журнал учета носителей информации.
15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
16. Положение о правах доступа к обрабатываемым личным данным.
17. План проведения внутренних проверок защищенности персональных данных.
18. Акт классификации системы. Это база данных с личной информацией, где следует указать:
    • категории персональных данных;
19. кем используется система;
20. режим и объем обрабатываемой информации;
21. тип и структуру системы;
22. расположение технических средств;
23. подключение к другим сетям связи.
24. Правила обработки без применения автоматизированных средств.
25. Инструкция по организации защиты пароля и антивирусного контроля.
26. Форма акта по утилизации документов, содержащих личную информацию.
27. Журнал тестирования средств информационной защиты.
28. Журнал по проведению инструктажа по безопасности системы.
29. Журнал учета технических средств защиты информации.
30. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
31. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
32. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
33. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
34. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
35. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
36. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений –  это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН. 

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

• работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности; 
• следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
• работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
• чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
• вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию. 

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн

Передача ПД работников в пределах одной организации

Работодатель обязан «осуществлять передачу ПД работника в пределах организации, у одного ИП в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись» (абз. 5 ст. 88 ТК РФ).

Передача ПД работников в пределах одной организации – это перемещение данных между структурными подразделениями. Сюда не входят случаи передачи ПД в группе компаний, которая равнозначна передаче ПД третьим лицам.

Во внутреннем локальном акте у каждой компании и ИП должны быть описаны процедура передачи ПД работников, правила и цели их обработки, перечислены структурные подразделения компании, участвующие в обработке, и т.д. С этим актом работник должен быть ознакомлен во время подписания трудового договора.

Часто предприниматели не соблюдают правило о создании локальных актов о ПД. Также многие не знают о том, что документы, регулирующие правила обработки ПД, должны быть разработаны не только для работников, но и для других категорий субъектов ПД (соискателей, клиентов и т.д.).

Работодатель обязан «разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций» (абз. 6 ст. 88 ТК РФ).

Работодатель обязан «передавать ПД работника представителям работников в порядке, установленном настоящим кодексом , и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций» (абз. 8 ст. 88 ТК РФ).

В каждой организации и у ИП должны быть назначены сотрудники, которые имеют право работать с ПД коллег. Одного из них необходимо приказом руководителя назначить ответственным за обработку ПД. В его обязанности должны входить создание локальных актов в сфере обработки ПД и контроль за соблюдением работниками правил, прописанных в этих актах. Наличие такого сотрудника позволяет минимизировать риски компании и разгрузить отдел кадров и руководителя.

Остальные работники должны выполнять обязанности по непосредственной обработке ПД. Обычно это сотрудники бухгалтерии и отдела кадров. Их список необходимо установить приказом или внутренним локальным актом. Эти документы также должны содержать перечень ПД работников, которые могут обрабатываться каждым сотрудником.

Нередко компании не назначают ответственного за обработку ПД и не создают отдельных документов с перечнем лиц, наделенных правом на обработку данных сотрудников.

Ответственность за нарушение закона: штраф для ИП – от 1 тыс. до 5 тыс. руб., для юрлиц – от 30 тыс. до 50 тыс. руб. В случае повторного нарушения штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 50 тыс. до 70 тыс. руб. (ч. 1, 2 ст. 5.27 КоАП РФ).

Также придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

Пример из личной практики

К нам обратилась компания, которую привлекли к административной ответственности в виде штрафа в размере 45 тыс. руб. по ч. 1 ст. 5.27 КоАП РФ. Госинспекция труда при проверке обнаружила отсутствие локального акта, устанавливающего порядок внутренней передачи ПД работников. Также было вынесено предписание об устранении выявленных нарушений, так как не был составлен перечень лиц, имеющих право на обработку ПД сотрудников.

Контроль деятельности операторов ПД

Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

Основаниями для внеплановой проверки являются:

• контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
• требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
• бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
• приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
• Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.

Способы проверок:

• выезд на место обработки персональных данных;
• проверка предоставленной по запросу документации;
• систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

Ответственность за незаконную обработку персональных данных

Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

Требования к защите персональных данных

Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

Для надлежащей защиты ПД необходимо:

• установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
• принять адекватные меры организационного и технического характера;
• применять сертифицированные средства информационной защиты;
• перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
• вести учет машинных носителей ПД;
• обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
• восстанавливать поврежденную информацию;
• установить режим доступа к ПД только строго установленных лиц;
• регистрировать все действия, совершаемые при работе с ПД.

Защита от несанкционированного доступа

• Разрешительная система допусков к информсистеме.
• Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
• Регистрация действий при работе с ПД.
• Строгий учет и хранение съемных носителей данных.
• Создание резервных копий и дублирование баз данных и носителей информации.
• Использование сертифицированных средств защиты информации.
• Защищенные каналы связи.
• Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
• Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
• Межсетевое экранирование.
• Анализ защищенности информационных систем сканерами безопасности.
• Ограждение каналов связи от считывания данных.
• Использование смарт-карт, электронных замков для правильной идентификации пользователей.
• Систематическое испытание межсетевого экрана имитацией атак извне.
• Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

Работа оператора с ПД сотрудников и других физических лиц

Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.

Обработка персональной информации граждан является законной в следующих случаях:

• если получено письменное разрешение лица на обрабатывание его личных данных;
• если это необходимо для надлежащего исполнения оператором своих функций;
• для осуществления правосудия;
• для получения государственной услуги;
• с целью оформления и исполнения договора;
• для защиты жизни и здоровья физлица;
• с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
• профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
• статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
• если ПД стали общедоступными благодаря самому субъекту;
• когда ПД подлежат публикации или непременному открытию ввиду требований закона.

Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.

Принципы и условия обрабатывания оператором личных данных

1. Обрабатывание ПД реализовывается на законной основе.
2. Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.
3. Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
4. ПД должны быть точными, полными и актуальными для данных целей.
5. Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.

Обязанности оператора

• Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
• Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.
• Обеспечить должную защиту обрабатываемых и хранимых ПД.
• Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
• Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.
• Информировать субъекта о причине отказа от предоставления персональных данных.

Особенности работы с ПД при оформлении личных дел работников предприятия

Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:

• службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
• персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
• объем ПД не избыточен для должной работы данного учреждения.

Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.

Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.

Порядок оформления личного дела и возможный состав персональных данных:

• содержание личного дела;
• заявление о приеме на работу;
• приказ о приеме на работу;
• анкета;
• автобиография и резюме;
• копии дипломов;
• трудовой договор;
• представления к переводам на другую должность;
• приказы о переводах;
• внесение изменений персональных данных;
• документация об аттестации сотрудника;
• заявления персонала;
• документы о здоровье;
• фото;
• приказ о поощрении и взыскании;
• копии паспортных данных;
• копии карточек ПФР;
• индивидуальные налоговые номера;
• копии военных билетов;
• документы о заключении брака;
• документы о рождении детей;
• списки научных работ, изобретений;
• характеристики и отзывы.

Как ввести в организации положение?

Для внедрения в действие Положения о защите реквизитов сотрудников, директор предприятия обязан:

1. Разработать Положение.
2. Опубликовать приказ об его утверждении.
3. Ознакомить с данными документами весь персонал предприятия.

Только после проведения данной процедуры Положение получит законный юридический статус в рамках предприятия. При отсутствии утвержденного приказом Положения, руководитель предприятия может быть привлечен к административной ответственности согласно ст. 5.27 КоАП РФ.

Сроки хранения документов

Согласно закону № 152-ФЗ от 27.07.2006 года «О персональных данных», руководство предприятия обязано организовать хранение всех локальных актов по обработке персональных сведений своих сотрудников на протяжении всего срока функционирования предприятия. Следовательно, как Положение о защите информации, так и приказ о его внедрении в действие, обязаны храниться на предприятии такой же период.

Хранение источников персональной информации осуществляется в отделе по защите данных в кабинете с ограниченным доступом, например, в металлическом сейфе, оборудованным классом Н0 по устойчивости к вскрытию.

Если предприятие прекращает свое функционирование, то все документы передаются по акту в местный архив, где такие документы сохраняются на протяжении 75 лет, на основании приказа Минкультуры РФ № 558 от 25.08.2010 года.

Перечень документов по защите персональных данных

По российскому федеральному законодательству, проверять эффективность и функциональность мероприятий по защите персональных данных (ПД) должны:

• Правительство.
• ФСБ.
• Федеральная служба по техническому и экспертному контролю, ФСТЭК.
• Роскомнадзор.

Эти контролирующие органы всегда требуют предоставлять отчетную документацию о защите ПД. Любая компания-оператор ПД обязана иметь бумаги, представленные в таблице.