Biznesivlast.ru

Бизнес и Власть
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Персональные данные: защита без нападений. Часть 2

Пример согласия на обработу ПДн без чекбокса

  1. Составьте список всех форм, в которых вы собираете персональные данные и укажите какие именно данные, для какой цели
  2. Под каждой такой формой поставьте чек-бокс (место для проставления «галочки») с текстом: «Даю согласие на обработку своих персональных данных» или более развернутый вариант: «Даю согласие на обработку своих персональных данных на условиях и для целей, определенных в Согласии на обработку персональных данных», с указание гиперссылки на текст такого согласия. Ещё более продвинутый вариант: «Нажимая на кнопку „Отправить“, я даю свое согласие на обработку персональных данных и принимаю условия Пользовательского соглашения». В последнем случае вы заключаете договор с каждым пользователем, а в Пользовательском соглашении должны содержаться условия согласия на обработку ПДн и все остальные цели и условия работы сайты и обработки ПДн.
  3. Подготовьте и разместите на сайте документа с условиями обработки ПДн, коим может быть Согласие или часть Пользовательского соглашения, а равно оно может быть частью Политики обработки ПДн. Укажите в нём следующую информацию согласно ст. 9 Федерального закона № 152-ФЗ:

    наименование организации или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

    цель обработки ПДн;

    перечень ПДн, на обработку которых субъект дает согласие;

    наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

    перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

    срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);

    подпись субъекта ПДн.

    Закон требуется указывать в согласии ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, но на это требование в онлайне в отличии от оффлайна часто закрывают глаза.

    Не стоит забывать, что это лишь видимая часть тех документов, которые должны быть у любого оператора персональных данных и не стоит ограничиваться только указанным выше.

    Какие данные относятся к персональным

    Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:

    • Ф.И.О.;
    • возраст (год рождения);
    • семейное положение;
    • образование;
    • профессия;
    • адрес проживания;
    • расовая и национальная принадлежность;
    • вероисповедание;
    • биометрические данные;
    • политические взгляды;
    • состояние здоровья.

    Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база. И все эти нюансы содержит образец приказа о допуске к персональным данным работников.

    Как мы достигаем успеха

    Проводим экспресс-анализ и оцениваем объем работы

    Выявляем особенности в сфере ПД для клиента

    Изучаем суть требований контролирующего органа

    Формируем правовую позицию и защищаем в т.ч. в суде

    Готовим все необходимые процессуальные документы

    Добиваемся непривлечения к ответственности при проверке

    VOLKSWAGEN Group — ЮК «Центральный округ» доверяют

    Crocus Group — ЮК «Центральный округ» доверяют

    KUHN — ЮК «Центральный округ» доверяют

    Газпромбанк — ЮК «Центральный округ» доверяют

    Pirelli — ЮК «Центральный округ» доверяют

    ЭФКО — доверяют ЮК «Центральный округ»

    АГСТРЕМ мебель — доверяют ЮК «Центральный округ»

    Банк Россия — доверяют ЮК «Центральный округ»

    Мтел — доверяют ЮК «Центральный округ»

    Энергаз — доверяют ЮК «Центральный округ»

    Воронежский оконный завод — доверяют ЮК «Центральный округ»

    UniCreditBank — ЮК «Центральный округ» доверяют

    НОРМАН — ЮК «Центральный округ» доверяют

    ПРОМТЕКСТИЛЬ — доверяют ЮК «Центральный округ»

    ВЗМП — Воронежский завод минерального порошка

    Защита персональных данных в организации: пошаговая инструкция

    Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

    Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.

    Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

    Разработать Положение о персональных данных, включив раздел об их защите.

    Назначить сотрудника, который будет отвечать за работу с ПД.

    Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.

    Подготовить образцы расписок о неразглашении ПД.

    Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

    Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.

    Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.

    Передача ПД работников третьим лицам

    Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (абз. 2 ст. 88 ТК РФ).

    Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. В согласии нужно обязательно указать реквизиты компании (ИП), которой передаются ПД работника: наименование компании (Ф.И.О. ИП), ОГРН (ОГРНИП), ИНН, адрес места нахождения.

    Если работник не дал своего согласия, передача его ПД третьему лицу невозможна. Но есть исключения: передача данных в ПФР, ФСС, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку 1 . Например, когда нужно купить авиабилеты, забронировать номер в гостинице и т.д. Другой пример – работодатель передает клиенту Ф.И.О. и номер телефона работника-курьера, который должен доставить посылку.

    Остальные случаи передачи ПД без согласия будут нарушением закона. Например, когда работодатель передает ПД работника в охранную организацию для оформления пропуска.

    Работодатель обязан «не сообщать ПД работника в коммерческих целях без его письменного согласия» (абз. 3 ч. 1 ст. 88 ТК РФ).

    Комментарии компетентных органов о применении данного положения закона отсутствуют. Исходя из нашей практики, речь идет не столько о передаче ПД работников третьим лицам, сколько о размещении этих данных на сайте, в рекламных материалах для привлечения клиентов, а также иных действиях работодателя, направленных на увеличение прибыли. Согласие работника здесь также необходимо, поскольку размещение его ПД на сайте не связано с исполнением им своих должностных обязанностей. Примером нарушения данного положения Трудового кодекса является ситуация, когда коммерческие, медицинские и учебные организации публикуют на своих сайтах биографии сотрудников без их согласия.

    Работодатель обязан «предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности)» (абз. 4 ст. 88 ТК РФ).

    Речь идет о случаях, когда работодатель получает требование о предоставлении ПД работников от организаций, у которых нет права по закону получать такие данных без согласия работника 2 . Например, работодателю поступил запрос от другой компании, в которой его сотрудник работает по совместительству. В этом случае работодатель по основному месту работы обязан получить согласие работника, а также требовать от организации соблюдения конфиденциальности и использования полученных ПД только в целях, для которых они предоставлены.

    В законе не указано, как именно должно оформляться требование о соблюдении конфиденциальности. На практике подписывается соглашение о конфиденциальности или работодатель получает от компании гарантийное письмо.

    Иная ситуация, когда ПД сотрудника передаются в целях исполнения договора. Например, при передаче данных работников бухгалтерам на аутсорсе. Работодатель в таком случае обязан соблюдать требования ч. 3 ст. 6 Закона о персональных данных, а именно 3 :

    • взять письменное согласие работника на передачу его ПД третьему лицу;
    • в поручении для третьего лица указать перечень возможных действий с переданными ПД, цели обработки, требования к защите обрабатываемых ПД;
    • в поручении для третьего лица установить его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке.

    Ни закон, ни разъяснения Роскомнадзора ничего не говорят о форме поручения. На практике под поручением понимается отдельное положение, включенное в текст договора с третьим лицом (согласно ч. 3 ст. 6 Закона о персональных данных). Например, такое поручение может содержать договор на оказание услуг.

    Ответственность за нарушения закона: штраф для ИП – от 10 тыс. до 20 тыс. руб., для юрлиц – от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ).

    И придется выплатить компенсацию морального вреда работнику, чьи права были нарушены.

    Несмотря на передачу ПД работника третьему лицу, ответственность за их обработку несет работодатель.

    Примеры из личной практики

    • К нам обратилась компания, которая была оштрафована на 60 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – передача ПД работников без их согласия сторонней организации, оказывающей бухгалтерские услуги. После проверки документов выяснилось, что компания получала согласие на обработку ПД от каждого работника при заключении трудового договора, считая, что этого достаточно для передачи ПД третьим лицам.
    • Региональная сеть частных медицинских клиник была оштрафована на 35 тыс. руб. по ч. 2 ст. 13.11 КоАП РФ. Основание – размещение Ф.И.О. и данных о медицинском образовании сотрудников на официальном сайте без их согласия.

    Примеры из судебной практики

    • Работник взыскал с работодателя компенсацию морального вреда за передачу ПД при ответе на запрос адвоката (Решение Сыктывкарского городского суда Республики Коми по делу № 2-969/2019 от 14 марта 2019 г.).
    • Работодатель получил предписание от Роскомнадзора об устранении нарушений порядка передачи ПД работников третьему лицу: было неверно оформлено согласие, и в договоре с третьим лицом не указан перечень действий с ПД (постановление Арбитражного суда Московского округа по делу № А40-81171/2017 от 15 января 2018 г.).

    Что должно содержать положение о защите персональных данных

    Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

    Общие положения

    Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

    Перечень персональных данных сотрудников

    Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

    Операции с персональными данными

    В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

    Доступ к персональным данным

    В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

    Обязанности работников с доступом к персональным данным

    В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

    Права работников в отношении операций с персональными данными

    Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

    Защита персональных данных

    В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

    Проверка Роскомнадзора

    Мы знаем компании, которые обрабатывают персональные данные и боятся подавать уведомление. Они думают, что раз раньше обрабатывали данные без уведомления, то нарушали закон и получат штраф. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придет с проверкой.

    В реестре Роскомнадзора 380 тысяч компаний, и цифра постоянно растет:

    Проверить все компании из списка Роскомнадзор не может. По нашим наблюдениям проверки чаще всего приходят к компаниям, которые пытаются затаиться и не подают уведомление. Это Роскомнадзор подтвердил летом на Дне открытых дверей.

    Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируетя как оператор. Не ответить на такое письмо — повод для проверки.

    Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то еще способ. Был случай, когда в Астрахани оштрафовали все компании на букву А. которые обрабатывали персональные данные и не подали уведомление.

    Роскомнадзор чаще всего обращает внимание на компании, которые используют персональные данные для:

    • устройства сотрудников на работу и оформления им страховых полисов или зарплатных проектов;
    • карт лояльности;
    • рекламных рассылок;
    • оказания услуг;
    • регистрации на сайтах;
    • звонков потенциальным клиентам.

    Поэтому мы рекомендуем подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку. Штраф за обработку персональных данных без уведомления — 5000 рублей. Дополнительно к этому Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры.

    Если Роскомнадзор придет с проверкой, он может обнаружить, что компания неправильно обрабатывает персональные данные, штраф может быть до 75 000 рублей.

    голоса
    Рейтинг статьи
    Читать еще:  Компенсация за долю в квартире и пользование ей в 2022 году
    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector