Обработка персональных данных

Пошаговая инструкция

Многие руководители знают о том, что существует закон о защите персональных данных. Но мало кто применяет все нормы 152 ФЗ на практике. И это несет существенные риски штрафных санкций от проверяющих органов. Любая компания должен обеспечить сохранность и защиту персональных данных всех физического лица, данные от которых она получает. А это могут быть или представители других компаний или работники самого предприятия.

Далее постараемся разобраться в том, какие действия нужно предпринимать, чтобы соответствовать 152 федеральному закону. И для начала приведем некоторые понятия

Конфиденциальность персональных данные

Данное понятие не требует длительного объяснения. Суть в том, что любая компания или предприятие не могут распространять и обрабатывать персональные данные субъекта, т. е. физического лица, без его согласия

Оператор персональных данных

Следующие понятие это «оператор персональных данных». К такому оператору могут причисляться как государственный, муниципальный орган, юридическое или физическое лицо, которые определяют цели обработки собираемых персональных данных.

Информационная система персональных данных (ИСПДн)

ИСПДн это система, которая содержит информацию в виде различных персональных данных и по сути является базой данных, которая позволяет проводить обработку различных персональных данных с использованием средств автоматизации.

Обработка персональных данных

Это операция или действие с персональными данными, которая включает сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Для соблюдение за выполнением любого закона назначается ответственный государственный орган. И за контролем соблюдения закона о персональных данных тоже назначены ответственные. И не один а целых три и это РОСКОМНАДЗОР , ФСБ и ФСТЭК России.

Группы персональных данных

Все персональные данные обычно разделяют на три группы

1. Общие

К общим персональным данным таким персональным данным относятся фамилия, имя, отчество, место жительства, а также паспортные данные, ИНН, СНИЛС и сведения об образовании, семейное положение; размере зарплаты, наличии военной специальности.

2.Специальные

К специальным персональным данным относят национальность и принадлежность к определенной расе. А также политических взглядах; религиозных или философских убеждениях; информацию здоровья

Содержаться в анкете, которую сотрудник заполняет при приеме на работу, медицинском заключении и т. д.

3. Биометрические данные

К биометрическим данным относится информация о биологических и физиологических особенностях человека. Биометрические данные могут включать информацию об отпечатках пальцев, радужной оболочка глаз; ДНК; рост, вес, размере одежды и обуви, а также другая информация по которой можно установить личность человека. При этом фото- и видеозаписи, которые сделали на массовых или публичных мероприятиях к персональным и биометрическим данным не относятся.

Инструкция по введению работы с персональными данными.

1. Классификация информационной системы персональных данных

На первом этапе работ по обработке персональных данных необходимо определить на сколько важна задача по защите персональных данных. А также провести квалификацию* персональных данных. И на основании полученной информации определить методы и способы защиты персональных. На основании приказа руководителя предприятия создается комиссию, которая и проводит анализ исходных данных и затем принимает решение о присвоении ИСПДн соответствующего класса.

В процессе проведения классификации определяются:

2. Уведомление уполномоченного органа

В качестве уполномоченного органа, на которого возложена функция обработки уведомлений от операторов персональных данных является РОСКОМНАДЗОР**. Ответственный сотрудник оператора заполняет электронныe. виде форму на сайте
http://rkn.gov.ru/personal-data/forms/notification/.

И затем распечатывает данную форму на фирменном бланке предприятия и отправляет почтой в Управление Роскомнадзора.

3. Назначение ответственных

С целю соблюдения законодательства на предприятии должны быть назначены ответственные за за сбор, организацию и контроль по обеспечению безопасной обработки и защите персональных данных. В том числе за контролем работы в различных электронных информационных баз, содержащих персональные данные. И обычно данную функцию выполняют сотрудники IT службы или специалист по информационной безопасности. И для этого, руководитель предприятия издает приказ.

4. Обязательства о неразглашении

Все работники предприятия, которые имеют доступ к персональным данным должны дать письменные обязательства о неразглашении персональных данных. Это может быть как отдельный документ подписанный работником или же это может быть разделом в трудовым договоре. А в тех случаях, когда в ранее заключенном договоре такого раздела не было, то ситуацию можно исправить путем подписания дополнительного соглашение к трудовому договору. И не забывайте внести изменения в должностные инструкции, чтобы расширить функции работников.

5. Регламентация обработки и защиты персональных данных

Различные документы, которые регламентируют порядок хранения, обработки и защиты персональных данных, должны соответствовать нормам трудовой кодексу и 152 ФЗ. И если этого еще не было сделано, то в обязательном порядке нужно внести изменения во все документы и локальные нормативные акты.

Один из основных документов, которые должны имеется на предприятии и должны быть правильно оформлены это «Положение по обеспечению безопасности персональных данных». Данный документ, хоть и не имеет строгой формы, но все он является обязательным внутренним актом. И должен удовлетворять требованиям законодательства и должен содержать следующие разделы:

Данное положение утверждается руководителем предприятия и вводится в действие приказом. Все работники, имеющие отношение к обработке персональных данных. должны быть ознакомлены с положением в обязательном порядке под подпись.

Пример положения о персональных данных

6. Согласия на обработку персональных данных

Оператор в процессе получения персональных данных, перед тем как начать обработку полученной информации, должен получить согласие на их обработку персональных данных для работников в письменной форме, для клиентов и партнеров в электронной форме.

В согласии должна быть указана полная информация о том кто будет обрабатывать данные, какие данных, в каких целях, какими методами будет осуществлена обработки, а также срок, в течение которого действует согласие. Данный документ гарантирует любому человеку, что информация о нем будет применяться для строго определенных целей и будет защищена от действий не соответствующих закону.
Для чего необходимо согласие на обработку персональных данных при трудоустройстве

Когда человек приходит устраиваться на работу, он предоставляет кадровику или специалисту по персоналу личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медицинскую книжку, военный билет и т. д.

В тот момент когда все эти документы оказались у представителя предприятия они получают статус конфиденциальных. И поэтому для их дальнейшего использования, необходимо получить письменным согласием работника. Так как без этого он не может быть оформлен и начать свою трудовую деятельность на этом предприятии

7. Обеспечение безопасности при обработке персональных данных

Каждый руководитель предприятия или организации должен помнить, о рисках связанных с утерей или передачей персональных данных третьим лицам, что может привести к значительным финансовым затратам. И поэтому нужно организовать работу по защите персональных данных как работников, так и клиентов.

Если организация или предприятие использует собственную информационную систему обработки и хранения персональных данных, то необходимо получать лицензию ФСТЭК России, на деятельность по технической защите конфиденциальной информации. Кроме того провести аттестацию созданной системы защиты ИСПДн в соответствии с требованиям безопасности ФСТЭК. И отправлять ответственных сотрудников, за обеспечение безопасности информации. Которым необходимо пройти курсы повышения квалификации по вопросам защиты информации или нанимать специалистов по защите информации. Кроме всего выше сказанного необходимо установить сертифицированные средства защиты информации (СрЗИ) по требованиям ФСТЭК, средства криптографической защиты информации (СКЗИ) в соответствии с требовании ФСБ и в зависимости от класса ИСПДн.

8. Штрафы за нарушение закона о персональных данных

Штрафы за нарушение закона о персональных данных с 1 июля 2017 года (рис 2)

В заключении можно сказать, что предприниматели обязаны уведомить Роскомнадзор о намерении обрабатывать персональные данные, обеспечить соблюдение установленных принципов обработки данных. Публиковать политику по работе с персональными данными на сайте предприятия. А также обрабатывать персональные данные, только в соответствии с законом. В обязательном порядке получать согласие на обработку персональных данных. Предоставлять доступ к персональным данным их владельцам, а также вносить изменения. Блокировать или уничтожить персональные данные по требованию владельца;

*(Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России №55/86/20 от 13 февраля 2008г.)

**Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций