Система хранения персональных данных

Содержание

5 шагов по организации учета и хранения персональных данных

Система хранения персональных данных

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Защита персональных данных в облаке по 152-ФЗ | Блог Mail.Ru Cloud Solutions

Система хранения персональных данных

Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Зарегистрироваться в Роскомнадзоре

После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет.

В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить.

Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

  • Лично через подписание договора, например с сотрудником.
  • На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников.

Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн.

Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки.

У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать.

Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности.

Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».

Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности.

Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи.

В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

Как работать с персональными данными в облаке по закону

  1. Если вы собираете данные о клиентах или сотрудниках — вы оператор персональных данных. Это значит, что вы обязаны соответствовать требованиям 152-ФЗ и обеспечить защиту данных.
  2. Чтобы собирать и обрабатывать персональные данные, нужно обеспечить их защиту в соответствии с 21 приказом ФСТЭК, зарегистрироваться в Роскомнадзоре и спрашивать у людей согласие на сбор и обработку данных.
  3. Передавать данные в облако можно. Данные там надежно защищены, однако вы должны правильно настроить доступ к ним.
  4. С точки зрения закона, передавать данные можно только облачным провайдерам, которые аттестованы на соответствие 152-ФЗ.

Хранение персональных данных в облаке: что бизнесу нужно об этом знать | Rusbase

Система хранения персональных данных

Небольшим компаниям непросто соблюсти все требования закона о персональных данных. Олег Коновалов, руководитель направления облачных сервисов OnCloud.ru компании «Онланта» (входит в группы компаний «ЛАНИТ»), рассказывает, зачем отдавать обработку персональных данных на аутсорсинг и как посчитать стоимость их обработки внутри компании.

Хранение персональных данных в облаке: что бизнесу нужно об этом знать Олег Коновалов

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры. Они имеют необходимые ресурсы для обработки и хранения персональных данных: межсетевые экраны, маршрутизаторы, ПО для защиты от несанкционированного доступа, антивирусы, и еще у них есть сотрудники для администрирования средств защиты.

Что именно я отдам на аутсорсинг?

Сценариев может быть несколько.

  • Передать на обслуживание аутсорсинговой компании всю IT-инфраструктуру, в том числе и защиту персональных данных.
  • Передать на обслуживание информационную систему, содержащую персональные данные. Сервис-провайдер разместит ее в защищенном облаке вместе с рабочими местами пользователей этой системы.
  • Разместить в защищенном облаке информационную систему, содержащую персональные данные, а защитой рабочих мест пользователей заниматься самостоятельно.
  • Разместить в защищенном облаке только базу данных с персональными данными.

На рынке наибольшей популярностью пользуются третий и четвертый сценарии – это наиболее простые решения, поэтому и самые тиражируемые.

Они удобны для провайдера, так как у него уже создана и аттестована техническая база под данные услуги, требуется лишь обеспечить доступ заказчиков в инфраструктуру.

Первый и второй сценарии выбирают, как правило, крупные компании с большим бюджетом и специфическими бизнес-задачами.

Чего ждать от сервис-провайдера?

Вы точно можете рассчитывать на партнерство и консультационную поддержку. Что именно делает сервис-провайдер?

  • Дает рекомендации. Нюансов в сфере хранения персональных данных действительно много. Все они связаны со спецификой конкретного бизнеса.
  • Делает расчет необходимых вычислительных мощностей в облаке.
  • Переносит ваши системы на эти мощности.
  • Организует закрытый контур для персональных данных. Закрытый контур – сеть или сегмент сети, защищенный с помощью сертифицированных технических и программных средств. Если закрытый контур в облаке аттестован ФСТЭК и ФСБ, это, как правило, снимает большую часть вопросов при проверке Роскомнадзора.
  • Помогает с подготовкой необходимых документов и внутренних регламентов для работы с персональными данными.

Цена вопроса

Для оценки мы использовали решения компаний «Код безопасности» и Infotecs. Рассмотрим простой вариант: 2-3 сервера в закрытом контуре, 20-30 пользователей, которые подключаются к ним с помощью VPN c ГОСТ-шифрованием.

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

При самостоятельной организации хранения персональных данных только на оборудование и покупку лицензий уйдет 200-300 тысяч рублей. Трудозатраты и дальнейшая поддержка информационной системы – отдельная статья расходов.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Кто будет нести ответственность?

Закон позволяет передать информационные системы, в которых обрабатываются персональные данные, на аутсорсинг. Cервис-провайдер может взять на себя все технические работы по обработке персональных данных и разделить юридическую ответственность оператора персональных данных.

В ФЗ-152 очень четко определена ответственность. Оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных.

При покупке услуги по их хранению и обработке, помимо основного договора, необходимо заключить договор-поручение. В этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов.

Важно понимать, что, согласно 152-ФЗ, при такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (первого оператора) никто ответственность не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152. Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные.

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Где безопаснее хранить персональные данные…

…в облаке или в своей IT-инфраструктуре?

Это очень популярный вопрос.

Безопасность информационных систем (ИС), работающих в облаке, обеспечивают те же аппаратные и программные средства, что и безопасность ИС в ШЕ-инфраструктуре крупного предприятия, владеющего собственным дата-центром и часто своим облаком в этом дата-центре. Такая техническая база обеспечивает максимальную безопасность, но стоит дорого. Для малых и средних компаний подобные технические решения часто неподъемны и по финансовым соображениям, и из-за нехватки специалистов необходимой квалификации.

В облаке стоимость обеспечения информационной безопасности распределяется на большое количество заказчиков. В итоге стоимость услуг несопоставима со стоимостью покупки аппаратных и программных средств для обеспечения такого же уровня безопасности.

Кроме того, на провайдера ложатся все задачи по своевременному обновлению средств информационной безопасности.

За возможные инциденты облачный провайдер несет финансовую ответственность перед заказчиками. Любой сбой или утечка информации тут же становятся известны на рынке, риски потерять клиентов очень высоки.

Будет ли провайдер иметь доступ к персональным данным, которые я храню?

Нет, провайдер не имеет доступа к персональным данным, которые принадлежат вашей компании.

Что в итоге?

Если вы планируете организовать хранение персональных данных с нуля и еще не успели погрузиться в проблему достаточно глубоко, мы рекомендуем обратиться к провайдеру хотя бы для первичной консультации, чтобы вам помогли правильно определить категорию персональных данных и уровень защиты, который требуется обеспечить.

Подводных камней множество, поэтому вам не помешает серьезная экспертиза. Вам вполне могут рассказать то, чего вы не знали, или предложат решение, которое может оказаться дешевле и проще, чем вы представляли.

Рекомендуем ставить задачу сразу перед несколькими провайдерами, а дальше смотреть на предложенные решения и конечную стоимость услуг.

Если вы уже давно обрабатываете персональные данные, но ваше решение не в полной мере соответствует закону, четко определите свой бюджет и условия работы и приходите к провайдеру с конкретным техническим заданием. Внимательно изучите договор-поручение, чтобы понимать, какие риски вы сможете впоследствии переадресовать провайдеру.

Закон «О персональных данных» — что нужно знать агентству

Система хранения персональных данных

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Таргетированные SMS-рассылки с множеством фильтров для определения ЦА. Стоимость от 1,7 руб. за сообщение, CTR доходит до 45%!

Получите промокод на 1000 SMS на вашу первую кампанию прямо сейчас! Cossa рекомендует.

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2021 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.