Обработка персональных данных работника
Последний раз обновлено:
Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:
- паспортные данные;
- семейное положение;
- сведения об образовании;
- номер страхового свидетельства обязательного пенсионного страхования;
- сведения о трудовой деятельности и др.
Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.
Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).
Обратите внимание: не допускается передача личных сведений о работнике с коммерческой целью без письменного согласия самого работника (ст. 88 ТК РФ).
Персональные данные работника организация использует для выполнения своих обязанностей в рамках трудового, налогового и бухгалтерского законодательства. Компания вправе обрабатывать персональные данные сотрудника без его согласия, если их объем не превышает установленный законом норматив. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные, если это предусмотрено коллективным договором, локальными актами компании, которые составлены в порядке, установленном статьей 372 Трудового кодекса РФ.
Но Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных», обеспечить безопасность этой информации.
Согласие работника на обработку персональных данных
Все работодатели обязаны получить со своих сотрудников согласие на обработку их персональных данных. Согласно общим правилам, обрабатываться данные работников могут только с их согласия (п. 1 ст. 6 Закона № 152-ФЗ).
Вот пример письменного согласия работника на обработку его персональных данных.
|
Генеральному директору
СОГЛАСИЕ
Настоящим даю свое согласие Обществу с ограниченной ответственностью «Весна» (ООО «Весна»), расположенному по адресу: 987654, г. Москва, ул. Нижние Мневники, д. 8, корп. 1, офис 1, на автоматизированную, а также без использования средств автоматизации обработку, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение следующих моих персональных данных:
Настоящее согласие на обработку персональных данных дается мной, на основании статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», в целях:
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
|
|||||||||
Предлагая работнику подписать согласие на обработку персональных данных, следует пояснить, что он вправе вычеркнуть из списка ту информацию, которую он не хочет предоставлять для обработки.
Если работник отказывается подписать согласие на обработку его персональных данных, ему можно объяснить, что без его согласия нельзя будет, к примеру, оформить полис ДМС, поздравить с днем рождения, сделать подарки детям, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, а если если в организации действует пропускной режим, то выписать или заменить сотруднику пропуск. То есть попытаться убедить его дать согласие на обработку данных.
Согласие работника на распространение персональных данных
Согласие на обработку персональных данных, разрешенных для распространения, нужно оформлять отдельно от других согласий на обработку персональных данных. Это правило действует с 1 марта 2021 года (Федеральный закон от 30 декабря 2020 года № 519-ФЗ).
С этого момента получения одного согласия на обработку персональных данных недостаточно. Если компания собирается совершать какие-либо действия с полученными о сотруднике сведениями, в результате чего они станут известны третьим лицам, то необходимо получить письменное согласие работника, разрешающее их распространение.
Например, компания размещает информацию о сотрудниках на своем сайте. Теперь для этого ей нужно согласие работника на распространение персональных данных.
В согласии на распространение персональных данных должны быть графы, в которых сотрудник отмечает, какую информацию о себе он разрешает распространять, а какую нет. Так, работник вправе решить, какую информацию о себе он разрешает работодателю разместить на корпоративном сайте, а какие сведения размещать запрещает.
При этом молчание или бездействие работника ни при каких обстоятельствах не является согласием на распространение его персональных данных.
Если сотрудник дал согласие только на обработку персональных данных, но не их распространение, то организация может обрабатывать полученные сведения, а права передавать их кому-либо еще не имеет. Но это не касается передачи персональных данных различным государственным структурам. Например, ФНС, СФР, полиции, следственным органам и т. д. Этим органам персональные данные о лице можно передавать без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Образец согласия на передачу персональных данных работника смотрите ниже.
|
Генеральному директору
СОГЛАСИЕ
Настоящим даю свое согласие Обществу с ограниченной ответственностью «Весна» (ООО «Весна»), расположенному по адресу: 987654, г. Москва, ул. Нижние Мневники, д. 8, корп. 1, офис 1, на обработку в целях размещения на корпоративном сайте www.vesna.ru следующих персональных сведений о себе в следующем порядке:
Сведения об информационных ресурсах ООО «Весна», посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:
Настоящее согласие дано на срок до _____________20гг.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Дисциплинарная ответственность работника, разглашающего персональные данные
Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит статья 86 Трудового кодекса.
Для исполнения данного обязанности работодателем должны быть приняты соответствующие локальные нормативные акты, направленные на защиту персональных данных работников, с которыми работники должны быть ознакомлены под роспись.
Статьей 90 ТК РФ установлено, что лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами.
Также они могут быть привлечены к гражданско-правовой, административной и уголовной ответственности.
Таким образом, к дисциплинарной ответственности за разглашение персональных данных можно привлечь работника, на которого возложены обязанности по обработке персональных данных и который при обработке персональных данных нарушил законодательство РФ.
Так разъяснил Минтруд России в письме от 11 марта 2024 г. № 14-6/ООГ-1418.
Как оштрафуют по КоАП за нарушения в работе с персональными данными
Ответственность за нарушение законодательства о персональных данных постепенно ужесточается. Штрафы грозят по статье 13.11 КоАП РФ.
Обратите внимание, с 30 мая 2025 года штрафы по статье 13.11 КоАП РФ ужесточены Федеральным законом от 30 ноября 2024 № 420-ФЗ.
Размеры штрафов за нарушение закона о персональных данных. Таблица
| Нарушение | Размер штрафа | |||
| Гражданину | Должностному лицу | ИП | Юридическому лицу | |
| Обработка данных в случаях, непредусмотренных законом или обработка несовместимая с целями сбора (ч. 1 ст. 13.11 КоАП РФ) |
от 10 000 до 15 000 рублей |
от 50 000 до 100 000 рублей |
от 50 000 до 100 000 рублей |
от 150 000 до 300 000 рублей |
| Повторное нарушение в обработке персональных данных (ч. 1.1 ст. 13.11 КоАП РФ) | от 15 000 до 30 000 рублей | от 100 000 до 200 000 рублей | от 100 000 до 200 000 рублей | от 300 000 до 500 000 рублей |
| Сбор и обработка персональных данных без согласия владельца, сбор данных в большем объеме, чем разрешено (ч. 2 ст. 13.11 КоАП РФ) | от 10 000 до 15 000 рублей | от 100 000 до 300 000 рублей | от 100 000 до 300 000 рублей | от 300 000 до 700 000 рублей |
| Повторное нарушение по обработке данных без согласия (ч. 2.1 ст. 13.11 КоАП РФ) | от 15 0000 до 30 000 рублей | от 300 000 до 500 000 рублей | от 500 000 до 1 000 000 рублей | Штраф от 1 000 000 до 1 500 000 рублей |
| Непредставление доступа к документу, в котором изложена политика оператора в отношении персданных (ч. 3 ст. 13.11 КоАП РФ) | от 1 500 до 3 000 рублей | от 6 000 до 12 000 рублей | от 10 000 до 20 000 рублей | от 30 000 до 60 000 рублей |
| Не предоставление информации об обработке владельцу персональных данных (ч. 4 ст. 13.11 КоАП РФ) | от 2 000 до 4 000 рублей | от 8 000 до 12 000 рублей | от 20 000 до 30 000 рублей | от 40 000 до 80 000 рублей |
| Не выполнение требования владельца данных об удалении, исправлении, блокировке его данных (ч. 5 ст. 13.11 КоАП РФ) | от 2000 до 4 000 рублей | от 8 000 до 20 000 рублей | от 20 000 до 40 000 рублей | от 50 000 до 90 000 рублей |
| Повторное не выполнение требования владельца данных об удалении, исправлении, блокировке его данных (ч. 5.1 ст. 13.11 КоАП РФ) | от 20 000 до 30 000 рублей | от 30 000 до 50 000 рублей | от 50 000 до 10 000 рублей | от 300 000 до 500 000 рублей |
| Необеспечение сохранности данных, их утечка, копирование, взлом и распространение в неправомерных целях (ч. 6 ст. 13.11 КоАП РФ) | от 1500 до 4 000 рублей | от 8 000 до 12 000 рублей | от 20 000 до 40 000 рублей | от 50 000 до 100 000 рублей |
| Не обезличивание персональных данных (для государственных и муниципальных органов) (ч. 7 ст. 13.11 КоАП РФ) | - | от 6 000 до 12 000 рублей | - | - |
| Хранение данных граждан России за пределами РФ (ч. 8 ст. 13.11 КоАП РФ) | от 30 000 до 50 000 рублей | от 100 000 до 200 000 рублей | от 1 000 000 до 6 000 000 рублей | |
| Повторное нарушение по хранению данных граждан России за пределами РФ (ч. 9 ст. 13.11 КоАП РФ) | от 50 000 до 100 000 рублей | от 500 000 до 800 000 рублей | от 6 000 000 до 18 000 000 рублей | |
| Непредставление уведомления о намерении осуществлять обработку персональных данных (ч. 10 ст. 13.11 КоАП РФ) | от 5000 до 10 000 рублей | от 30 000 до 50 000 рублей | от 30 000 до 50 000 рублей | от 100 000 до 300 000 рублей |
НДФЛ при выплате компенсации за утечку персональных данных
За утечку персональных данных организация может выплатить денежную компенсацию. Нужно ли с такой компенсации платить НДФЛ, разъяснила ФНС России в письме от 26 апреля 2024 г. № БС-4-11/5038@.
Оснований для освобождения от НДФЛ компенсации за утечку персональных данных нет.
Во-первых, статья 41 Налогового кодекса определяет доход как экономическую выгоду в денежной или натуральной форме, учитываемую в случае возможности ее оценки и в той мере, в которой такую выгоду можно оценить.
Во-вторых, данной компенсации нет в перечне доходов, не подлежащих обложению НДФЛ, содержится в статье 217 НК РФ.
Таким образом, денежная компенсация, которую выплачивают в связи с допущенной оператором утечкой персональных данных в качестве условия для снижения размера административного штрафа за соответствующее правонарушение, облагается НДФЛ в общем порядке.
На основании ст. 226 НК РФ организация, как налоговый агент, должна исчислить, удержать и уплатить сумму НДФЛ в бюджет.
Ставка налога общая – 13% (если доход превышает 5 млн. – ставка составляет 15%).
Например, компенсация за утечку персональных данных выплачена в размере 50 000 руб. НДФЛ нужно перечислить 6500 руб. Работник «на руки» получает 43 500 руб.
Участие третьих лиц в обработке персональных данных
Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.
Из этого правила есть исключение: работодатель вправе запрашивать информацию из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.
Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.
Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно в случаях:
- это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
- это предусмотрено законодательством.
Например, статья 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур.
Другой случай - выплата пособий на детей чернобыльцам.
Гражданам, подвергшимся воздействию радиации вследствие катастрофы на Чернобыльской АЭС, с 1 июля 2016 года взамен двукратного пособия по уходу за детьми предоставляется твердая ежемесячная выплата на каждого ребенка до достижения им возраста 3 лет (постановление Правительства России от 28 июня 2016 года № 588).
Ежемесячная выплата на ребенка до достижения им возраста полутора лет составляет 3000 рублей, в возрасте от полутора до трех лет – 6000 рублей.
Пособие предоставляется гражданам:
- постоянно проживающим (работающим) на территории зоны проживания с правом на отселение;
- постоянно проживающим (работающим) на территории зоны проживания с льготным социально-экономическим статусом;
- постоянно проживающим (работающим) в зоне отселения до их переселения в другие районы.
При этом перед датой рождения (усыновления) ребенка, на которого назначается выплата, или установлением над ним опеки, необходимо соблюдение условия их постоянного проживания и (или) работы:
а) в зоне отселения – не менее 1 года;
б) в зоне проживания с правом на отселение – не менее 3 лет;
в) в зоне проживания с льготным социально-экономическим статусом – не менее 4 лет.
Эти пособия чернобыльцам выплачивают органы соцзащиты. Заявления на их получения лицо, претендующее на выплату, подает по месту жительства или работы (или только по месту жительства, если оно совпадает с местом работы). От работодателя же требуется по запросу уполномоченного органа предоставлять сведения, подтверждающие нахождение получателя в трудовых отношениях с организацией (работодателем), а также адрес места нахождения организации (ее обособленного подразделения, отдельного рабочего места получателя) в населенных пунктах, включенных в перечень мест, проживание в которых дает право на пособие (п. 11 Постановления № 588).
Уведомление об обработке данных в Роскомнадзор
С 1 сентября 2022 года работодатели, которые начинают обрабатывать или уже обрабатывают персональные данные сотрудников, обязаны сообщать об этом в Роскомнадзор. Исключение - случаи:
- когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности
- если оператор обрабатывает данные исключительно без средств автоматизации.
Приказом от 28 октября 2022 года Роскомнадзор России утвердил формы уведомлений:
- о намерении начать обработку персональных данных
- об изменении сведений, содержащихся в уведомлении о намерении вести обработку персданных
- о прекращении такой обработки.
Предельный срок уведомления Роскомнадзора об обработке персональных данных пока не определен.
Уведомление об изменении сведений, содержащихся в уведомлении о намерении на обработку персданных. Форма
Читайте также ситуации по теме:
Примеры заполнения уведомлений
Пример заполнения уведомления об обработке персональных данных
Пример заполнения уведомления о внесении изменений в уведомление об обработке персональных данных
Как направить уведомление в Роскомнадзор. Способы
Направить уведомление в Роскомнадзор можно одним из трех способов:
- В бумажном виде, по почте РФ. Сначала нужно заполнить форму уведомления, которая утверждена в приложении 2 к приказу Роскомнадзора от 28 октября 2022 г.№ 180. Подписать форму и отправить письмом по почте на адрес Роскомнадзора.
- Электронно, через портал Госуслуг. У Вас должна быть подтвержденная учетная запись организации. Сначала в личном кабинет на портале Госуслуг в разделе «Роскомнадзор» нужно заполнить форму электронную уведомления. Затем, подписать ее электронной подписью и отправить.
перейти к сервису ЕСИА
- Электронно, через сайт Роскомнадзора. На сайте Роскомнадзора нужно войти в раздел «Обработка персональных данных». Заполнить форму уведомления, подписать усиленной квалифицированной электронной подписью и отправить. В этом случае подача в бумажном виде не потребуется. У вас должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним. Перейти к форме
Как заполнить уведомление на сайте Роскомнадзора
Адресные данные оператора
Сначала нужно указать регион, затем тип оператора. Оба поля заполняются по подсказкам из выпадающего меню. Далее – название и адрес.
Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, нужно указать регион фактического местонахождения.
Если вы зарегистрированы в одном регионе, а деятельность ведете в другом, нужно указать регион фактического местонахождения.
В перечне данных о компании есть поле «Адрес электронной почты». Оно выделено красной звездочкой, значит – обязательно для заполнения.
Регионы обработки. В это поле можно вписать несколько отдельных регионов либо выбрать «Все субъекты РФ», поставив галочку. Здесь важно не перепутать с территориями субъектов, чьи данные вы обрабатываете, потому что субъект может находиться в любом регионе.
Цели сбора персональных данных
Организациям необходимо предоставить в РКН сведения о том, данные каких категорий граждан они обрабатывают и с какой целью. Цель обработки определяется компанией самостоятельно, исходя из специфики деятельности.
Обрабатывать персональные данные, которые не требуются для достижения цели их обработки запрещено.
В выпадающем справочнике к полю «Цели обработки ПД» предлагается на выбор более 30 вариантов. Все они связаны с соблюдением законодательства: трудового, налогового, страхового, жилищного и т.д. Можно выбрать вариант из предложенных или добавить вручную свой в поле «иное».
Очевидно, что в отношении работников организация выполняет трудовое законодательство.
Указывая категории обрабатываемых данных имейте в виду, что все сведения, которые вы получаете должны соответствовать целям обработки.
Например, сомнительно, что для обеспечения трудового законодательства необходимо получать данные о национальности, политических взглядах, религиозных убеждениях. Более того, законодательство отдельно устанавливает случаи, когда такие данные можно использовать.
Информация, относящаяся к конкретному лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Это материальные носители персональных данных.
При заполнении поля необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).
Субъекты персональных данных
Многие компании обрабатывают персональные данные не только своих работников, но и клиентов или партнеров. Это напрямую касается всех, кто работает в сфере услуг: салоны красоты, турагентства, лаборатории по проведению медицинских анализов, медклиники и т.п. Интернет-магазины собирают данные покупателей, чтобы доставить товар.
В этом разделе нужно «галочками» отметить лиц, чьи данных вы обрабатываете: работников, соискателей, контрагентов, клиентов, посетителей сайта и т.п.
Правовое обоснование сбора персональных данных
Правовым основанием обработки персональных данных является комплект локальных нормативных актов компании, где установлены правила работы с персданными, например, положение о работе с персональными данными, отдельный раздел в Правилах внутреннего трудового распорядка. Но, главным документом в этом комплекте является письменное согласие владельца персональных данных.
В форме Уведомления уже указаны все возможные варианты, нужно выбрать подходящий и отметить его «галочкой». Для большинства компаний – это первая строка «обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». Ниже есть поле, куда можно вписать свой вариант.
Далее в пустом поле нужно указать указать все отраслевые нормативно-правовые акты, которыми руководствуется компания, обрабатывая персональные данные с указанием реквизитов: дата, номер и название, Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. ниже примеры для заполнения).
Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных. Это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон) не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.
Пример.
«обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей».
Варианты действий с персональными данными
Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.
Отмечайте в форме подходящие вам варианты.
Способы обработки
В этом разделе нужно заполнить три поля.
- Выбрать способ обработки между
автоматизированным, не автоматизированным и смешанным.
Автоматизированной считается обработка данных с помощью компьютеров. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются человеком.Редко используется исключительно автоматизированный способ, поэтому не будет ошибкой выбрать смешанную обработку. - Указать передаются данные по
внутренней сети или нет.
Передача персональных данных по внутренней сети оператора означает, что личная информация пересылается между устройствами, серверами. Это может быть связано с внутренними процессами. Например, кадровики направляют данные в бухгалтерию; продажники направляют данные клиентов курьерам и т.п. - Указать используется Интернет или нет.
«Без передачи по сети интернет» означает, что передача персональных данных осуществляется внутри закрытой, контролируемой сети, к которой нет стороннего доступа через интернет.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
Заботиться о безопасности персональных данных обязаны все без исключения операторы. Как следует из названия этого поля полный перечень мер содержится в ст. 18.1 и 19 Федерального закона №152-ФЗ.
Здесь необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Если используется электронная цифровая подпись (ЭЦП), нужно заполнить поле «использование шифровальных (криптографических) средств», указав наименование, регистрационные номера и производителей используемых криптографических средств, а также сведения об уровнях защиты.
Подраздел «средства обеспечения безопасности» - это технические меры по обеспечению безопасности данных при их обработке.
Содержание подраздела «правовые меры» может быть таким же как поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).
Если проведена классификация информационных систем персональных данных, необходимо в уведомлении к какому классу они относятся (см. Приказ от 13 февраля 2008 г. № 55, № 86, № 20 "Об утверждении Порядка проведения классификации информационных систем персональных данных").
В общем и целом, перечень мер не ограничен, их состав определяет каждая компания самостоятельно в зависимости от специфики деятельности, численности сотрудников, наличия и количества сайтов, объемов персональных данных и закрепляет внутренними документами.
Вот некоторые их них:
|
Мера безопасности |
Документ, которым может быть введена |
|
Разработаны и утверждены локальные документы
|
Положение о работе с персональными данными или Политика обработки персональных данных Политики конфиденциальности сайта Приказы, инструкции, журналы, карточки и т.д. |
|
Установлено ограничение доступа к личным сведениям и утвержден список лиц, которым предоставляется доступ к персональным сведениям |
Положение о работе с персональными данными Приказ |
|
Назначен ответственный за обработку персональных данных |
Приказ |
|
Введено требование о соблюдении конфиденциальности |
Соглашение о соблюдении конфиденциальности (для сотрудников и внештатных специалистов, которые имеют доступ к персональным данным) Политика конфиденциальности сайта |
|
Утвержден порядок уничтожения конфиденциальных сведений |
Положение о работе с персональными данными Приказ |
|
Введен инструктаж для работников с доступом к персональным данным |
Приказ Инструкция Журнал проведения инструктажей |
|
Установлен порядок обнаружения и устранения нарушений в работе компьютерной техники и ПО |
План мероприятий для контроля уровня информационной безопасности Журнал проверок на вирусы Инструкции Аттестации |
|
Применяются аппаратные, программные (шифрование информации) и физические (карточки на вход) меры защиты персональных сведений. |
Положение о работе с персональными данными Приказы об утверждении применяемого ПО |
Пример 1 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
Разработаны локальные нормативные акты, по вопросам обработки персональных данных: Положение о работе с персональными данными № 34 от 12 марта 2025 г.
Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
Назначен ответственный за организацию обработки персональных данных.
На корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных.
Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных.
Обеспечивается учет машинных носителей персональных данных.
Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.
Осуществляется контроль безопасности сайта компании. Для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия. Средства обеспечения безопасности: (Kaspersky Small Office Security Версия 3.0 (13.0.4.456)
Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.
Пример 2 заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
- утверждены документы, определяющие политику оператора в отношении обработки персональных данных (Положение об обработке персональных данных, приказы о назначении ответственного за обработку персональных данных) и определяющие для каждой цели обработки состав обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения персональных данных;
- назначен ответственный за организацию обработки персональных данных;
- разграничены права доступа к материальным носителям персональных данных и персональным данным, обрабатываемым в информационной системе персональных данных;
- работники, получившие допуск к обработке персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- настроена система обнаружения фактов несанкционированного доступа к персональным данным и принятия мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- на корпоративном сайте размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;
- осуществляется внутренний контроль и аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- на сайте компании установлено ПО для обеспечения безопасности персональных данных и применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия: Kaspersky Small Office Security Версия 3.0 (13.0.4.456).
Пример 3 от Роскомнадзора. Заполнения поля Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
Разработаны локальные акты, по вопросам обработки персональных данных. Лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных. На стенде (и (или) сайте) размещен документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных. Разработаны модели угроз безопасности персональным данным в информационных системах. В информационных системах установлен 3 уровень защищенности персональных данных. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.
Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Для обеспечения безопасности персональных данных применяются программно-технические средства, средства обеспечения безопасности: электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов; наличие средств восстановления системы защиты персональных данных.
Ответственный за обработку персональных данных
Ответственным за работу с персональными данными может быть штатный сотрудник, назначенный приказом руководителя. Он должен иметь:
- достаточный уровень знаний и квалификации для «курирования» этого вопроса (уметь разъяснить другим сотрудникам требования по безопасности);
- определенный административный ресурс (давать указания, обязательные к исполнению).
Зоны доступа могут быть разделены, например, ответственный — юрист, а допущенные лица — HR-менеджер и бухгалтер.
Оператор имеет право поручить обработку персональных данных другой компании при выполнении условий, указанных в ч. 3 ст. 6 Закона №152-ФЗ. Одно из них — получить согласие владельца персональных данных на то, что с его личной информацией по поручению оператора работает другая компания.
При передаче обработки персональных данных на аутсорсинг ответственность за сохранность и безопасность полученных персональных данных все равно несет оператор.
Трансграничная передача персональных данных
Здесь нужно выбрать из выпадающего меню необходимое: осуществляется/не осуществляется.
Использование шифровальных (криптографических) средств
Если используете, нужно поставить галочку и заполнить выпадающее меню: Наименование используемых криптографических средств, Класс средств криптографической защиты информации (СКЗИ).
Для проверки
правильности и, или копирования отдельных разделов используйте пример от
Роскомнадзора.
Пример
заполнения уведомления об обработке персональных данных
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
В данном разделе указывается информация о серверах и месте их расположения, то есть адрес дата-центра.
В поле Собственный ЦОД предлагается выбор: да/нет. Если выбрать вариант «нет», нужно заполнить строчки ниже, указав Сведения об организации, ответственной за хранение данных.
Сведения об обеспечении безопасности персональных данных
Здесь нужно указать меры, которые предпринимает ваша компания для исполнения требований, установленные постановлением Правительства Российской Федерации от 1 ноября 2012 № 1119.
Варианты могут быть такими:
- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- ограничен доступ в помещения, где хранятся персональные данные и введены идентификация и аутентификация доступа;
- на используемом оборудовании установлено антивирусное программное обеспечение;
- обеспечивается конфиденциальность паролей доступа к данным;
- контроль (анализ) защищенности персональных данных;
- обеспечивается целостность информационной системы и персональных данных;
- другое
Штрафы за не уведомление Роскомнадзора с 30 мая 2025 года
С 30 мая 2025 года компаниям, ИП и должностным лицам введены жесткие штрафы за несоблюдение законодательства о защите персональных данных граждан. Федеральный закон от 30 ноября 2024 № 420-ФЗ внес поправки в статью 13.11 КоАП РФ, добавив также новые части 10 – 18.
Непредставление уведомления в Роскомнадзор
|
Не отправлено уведомление в Роскомнадзор |
Размер штрафа с 30 мая 2025 |
|
о начале сбора и обработки персональных данных (ч. 10 ст. 13.11 КоАП РФ) |
штраф для граждан от 5000 до 10 000 рублей; для должностных лиц – от 30 000 до 50 000 рублей; для юридических лиц – от 100 000 до 300 000 рублей. |
|
об утечке персональных данных (ч. 11 ст. 13.11 КоАП РФ) |
штраф для граждан в размере от 50 000 до 100 000 рублей; для должностных лиц – от 400 000 до 800 000 рублей; для юридических лиц – от 1 000 000 до 3 000 000 рублей. |
Штрафы за утечку персональных данных
Размер штрафа зависит от объема утечек. «Начальный объем утечки» – 1000 пострадавших. Размеры штрафа установлены в ч. 12 - 15 ст. 13.11 КоАП.
Размер штрафа будет варьироваться в зависимости от объема утечек (согласно ч. 12 - 15 ст. 13.11 КоАП). «Начальный объем утечки» – 1000 пострадавших.
|
Число пострадавших лиц, чьи персданные стали общедоступны |
Размер штрафа для организации |
|
1000–10 000 / 10 000–100 000 |
от 3 000 000 до 5 000 000 рублей |
|
10 000–100 000 / 100 000–1 000 000 |
от 5 000 000 до 10 000 000 рублей |
|
Более 100 000 / более 1 000 000 |
от 10 000000 до 15 000 000 рублей |
При повторной утечке штрафы будут составлять от 1% до 3% общей суммы выручки организации или ИП за год.
Неправомерное распространение персональных данных спецкатегорий для ИП и компаний обернется штрафом от 10 млн до 15 млн руб.
Ошибки в уведомлении об обработке персональных данных
Роскомнадзор привел примеры и описал частые ошибки при заполнении уведомления об обработке персональных данных.
Ошибка 1. Документ оформлен не на бланке организации
Правильно: Бумажное уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.
Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»
Не указан или не полностью указывается адрес оператора (почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус).
Наименования организации в уведомлении не соответствует сведениям в ЕГРЮЛ.
Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.
Поле «Филиалы»
Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.
Поле «Правовое основание обработки персональных данных»
Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.
Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.
Правильно: необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.
Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).
Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.
Поле «Цель обработки персональных данных»
Каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).
ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».
Ошибка 3. В поле «Категории персональных данных»
Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.
Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.
Правильно следует указывать конкретно, например, фамилия, имя, отчество, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.
При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.
После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).
Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются»
Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.
Правильно: Содержание поля «вытекает» из «Цель обработки персональных данных». Необходимо указывать категории физических лиц и виды отношений с ними. Под видами отношений могут пониматься трудовые, гражданско-правовые, договорные отношения, отношения в целях исполнения закона или любого другого нормативно-правового акта, регламентирующего обработку персональных данных согласно сфере деятельности юридического лица (индивидуального предпринимателя).
Например: физические лица (заказчики; пассажиры; налогоплательщики; работники образовательного учреждения (колледжа, техникума), учащиеся, их родители; государственные гражданские служащие; обслуживающий персонал); лица, состоящие в трудовых отношениях с учреждением (предприятием); физические лица, обратившиеся в организацию по страхованию имущества; пенсионеры, физические лица находящихся на обслуживании банка (клиенты); законные представители физических и юридических лиц; больные, состоящие на диспансерном учёте по соответствующим диагнозам, медицинский персонал; граждане, имеющие право на меры социальной поддержки, пособия, доплаты к пенсии, ежемесячные денежные выплаты, компенсации и иные выплаты; лица, состоящие трудовых, в договорных и иных гражданско-правовых отношениях с юридическим лицом, законные представители физических и юридических лиц.
Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»
Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.
Поле «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»
Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.
У подавляющего большинства операторов это как минимум - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.
Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»
Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.
Подраздел «средства обеспечения безопасности» - это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).
Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).
Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13 февраля 2008 №55, №86, №20 "Об утверждении Порядка проведения классификации информационных систем персональных данных")
К техническим мерам можно отнести:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
Поле «Дата начала обработки персональных данных»
Фактически это дата, которая указана в свидетельстве ИНН.
Ошибка 6. Уведомление подписано неуполномоченным лицом
Уполномоченным лицом является:
- единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);
- руководитель или начальник, действующий на основании положения;
- представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.
Ошибка 7. Не указан исполнитель, контактная информация исполнителя
Поле необходимо
заполнить для обратной связи с исполнителем документа.
Связаться с нами