Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?
Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
специально для ГАРАНТ.РУ
Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.
Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
Конклюдентное согласие
Согласие в письменной форме
Иные формы согласия
+
Легко получить (за исключением случаев, когда нужно согласие в письменной форме)
При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства
Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
–
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ
Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ
Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе
Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода
Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ
На что еще важно обратить внимание до сбора персональных данных?
В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
При сборе данных нужно использовать базу данных, размещенную на территории РФ.
Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.
О чем всегда забывают при подготовке документации?
Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:
отсутствует большая часть необходимой документации;
документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.
Среди документов второго уровня в иерархии можно выделить следующие:
Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
Иные документы.
Для наглядности иерархическая структура необходимых документов представлена на схеме:
Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных
Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.
***
При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект 1 , разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.
1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.
Источник
Документальное обеспечение при организации защиты персональных данных на предприятии
При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.
Нормативная база
Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.
Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:
частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
инструкцию пользователя конфиденциальной информации (п. 13);
инструкцию администратора данных (п. 13);
журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
список (перечень) лиц, которые допущены к обработке (п. 13 (в));
электронный журнал обращений (п. 15, 16);
приказ с перечнем мест хранения (п. 13).
Политика предприятия в области защиты персональных данных
До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.
Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.
Внутренние документы регулируют:
общие принципы работы;
порядок обработки на бумажных носителях;
правила работы в информационных системах;
особенности хранения;
порядок передачи;
инструкция для сотрудников;
другие моменты.
Перечень основных локальных документов
Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:
положение об обработке персональных данных (ст. 22);
план мероприятий для проведения контроля (ст. 18.1);
распорядительный акт о назначении ответственных (ст. 22.1);
внесение дополнений в должностные инструкции (ст. 22.1);
форма согласия на обработку персональных данных (ст. 6 и 9);
форма запроса на доступ (ст. 14);
формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).
Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.
Алгоритм утверждения положения о защите персональных сведений
Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.
Процесс принятия и внедрения локального акта состоит из нескольких этапов:
создание проекта;
получение согласования от компетентных специалистов компании;
введение в действие путем подписания приказа;
доведение документа до сотрудников, которые знакомятся с ним под роспись.
В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.
Основные разделы Положения
Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:
общие сведения;
список информации и документов, содержащих данные о гражданах;
обязательства нанимателя;
процедура предоставления личных сведений;
способы и виды работы с информацией о гражданах;
оформление доступа к сведениям;
защита конфиденциальной информации;
права и обязанности субъекта;
ответственность должностных лиц и компании.
Перечень информации, относящейся к персональной
Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:
обезличенные – по ним нельзя определить конкретное лицо;
общие – первичные и основные;
специальные – здоровье, религия, раса, нация и т.д.;
биометрические – физиология и биология.
В перечень входит:
фамилия, имя, отчество;
число и населенный пункт рождения;
адрес проживания;
информация о документе, удостоверяющем личность;
СНИЛС;
ИНН;
сведения о дипломах;
информация о полученных доходах и оплате труда;
семейный статус;
другое.
Методы сбора и защиты ведомостей
Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.
Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.
Согласно Закону № 152-ФЗ фирма обязана:
определить, кто будет отвечать за организацию процесса обработки личных данных;
ввести в работу внутренние документы;
обеспечивать безопасное применение и использование;
контролировать процесс работы с информацией;
предотвращать вред, если будет нарушено законодательство;
знакомить с правилами работы граждан, принимаемых по трудовому договору.
реализация правил конфиденциальности;
пресечение неразрешенного доступа;
выявление фактов незаконного доступа и устранение вреда;
организация защиты технических средств;
запись резервных копий.
Назначение ответственных за хранение и обработку
Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:
начальник кадрового отдела;
инспекторы отдела по работе с персоналом;
работники бухгалтерии;
специалисты отдела информатизации.
Как обрабатываются данные?
Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:
взятие у гражданина согласия;
согласованность с поставленными задачами и целями.
В процессе обработки информации оператор выполняет следующие действия:
Нарушения положения и ответственность должностных лиц
Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.
Административная ответственность (КоАП РФ):
ст. 13.11 – нарушение порядка работы с информацией;
ст. 13.12 – несоблюдение правил защиты;
ст. 13.14 – разглашение сведений;
ст. 19.5 – невыполнение предписания контролирующего органа.
В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.
Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.
Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.
Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.
Инструкция для работников
В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:
безопасного использования различных программ и технических средств;
применения логинов и паролей;
предоставления доступа;
антивирусной защиты;
работы с носителями;
другие моменты.
Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.
О том, как организовать защиту информации на предприятии, рассказано в видео ниже.