Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса сайт, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.
Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».
С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.
Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.
Кто по закону 152-ФЗ считается оператором персональных данных?
Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.
Какие персональные данные пользователей могут быть на вашем сайте?
Чаще всего под персональными данными (ПДн) понимаются:
- фамилия,
- возраст,
- место рождения,
- фото,
- адрес проживания,
- номер телефона.
Также к персональным данным относятся сведения:
- о семейном положении,
- религиозных, философских и политических взглядах,
- интимной жизни,
- состоянии здоровья.
Обезличенные персональные данные и автоматически собираемая информация:
- e-mail,
- IP-адрес,
- геолокация,
- файлы cookie.
Какие есть формы сбора персональных данных на сайте?
- Форма регистрации.
- Форма заказа.
- Форма обратной связи.
- Кнопка «Заказать обратный звонок».
- Форма подписки на e-mail рассылку.
Размеры штрафов после изменений 1 июля 2017 года
|
Номер статьи |
Размер штрафа |
|
|
ч.1 ст.13.11 КоАП |
|
Для физ. лиц - до 3 т.р. Для юр. лиц - до 50 т.р. |
|
ст.13.11 КоАП |
|
Для физ. лиц - до 5 т.р. Для юр. лиц - до 75 т.р. |
|
ч. 3 ст.13.11 КоАП |
|
Для физ. лиц - до 1.5 т.р. Для ИП - до 10 т.р. Для юр. лиц - до 30 т.р. |
|
ч. 4 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 15 т.р. Для юр. лиц - до 40 т.р. |
|
ч. 5 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 45 т.р. |
|
ч. 6 ст.13.11 КоАП |
|
Для физ. лиц - до 2 т.р. Для ИП - до 20 т.р. Для юр. лиц - до 50 т.р. |
При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.
Как это работает?
Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.
Как избежать штрафа и блокировки сайта: 5 шагов
- Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
- Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
- Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
- Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
- Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.
Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис . Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.
Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.
С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.
Персональные данные: особая информация
Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).
У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).
Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).
Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).
Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Как работодатель обязан защищать персональные данные
В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).
Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.
Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).
Какая ответственность применяется к работодателям
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.
Дисциплинарная ответственность
К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):
- замечание;
- выговор;
- увольнение.
Материальная ответственность
Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.
Читайте также Как физлицу узнать налоговую задолженность по ИНН
При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.
Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.
Административная ответственность
За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:
- для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
- для организации: от 5000 до 10 000 рублей.
Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.
Уголовная ответственность
Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:
- сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
- распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:
- штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
- обязательные работы на срок до 360 часов;
- исправительные работы на срок до одного года;
- принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
- арест на срок до четырех месяцев;
- лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:
- штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
- лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
- арестом на срок от четырех до шести месяцев;
- лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).
Что изменится с 1 июля 2017 года
Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.
Нарушение 1: обработка персональных данных в «иных» целях
С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:
- или предупреждение;
- или штрафы.
Нарушение 2: обработка персональных данных без согласия
Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
- наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:
Нарушение 3: доступ к политике по обработке персональных данных
Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.
С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.
Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».
С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:
Нарушение 4: сокрытие информации
Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
К статье 13.11 КоАП РФ. Штрафы за незаконную обработку персональных данных существенно выросли, а Роскомнадзор получил полную свободу действий по отношению к нарушителям.
Рассказываем, как сделать все правильно и обезопасить свой бизнес.
В чем суть 152-ФЗ
Любое юридическое лицо, ИП или некоммерческая организация является оператором персональных данных , которые условно делятся на 3 категории:
- информация о сотрудниках,
- информация о клиентах,
- данные о пользователях сайта.
На любого оператора распространяются требования закона к обработке и защите персональных данных:
- получать, хранить и использовать данные можно только с согласия владельцев,
- использовать их можно только в целях, указанных во взаимном соглашении,
- хранить данные необходимо на территории РФ (это касается всех видов носителей — в частности, хостинга сайта),
- требуется удалять или обезличивать данные по окончании использования.
Карать за незаконную обработку персональных данных может Роскомнадзор, Федеральная служба по техническому и экспортному контролю и даже Трудовая инспекция.
Не ответили вовремя на запрос пользователя удалить его из базы рассылки? Штраф 40 тыс. руб. Храните резюме сотрудников в открытом доступе — 50 тыс. руб. Не уведомляете пользователей сайта о сборе их персональных данных — 75 тыс. руб.
Не забывайте о том, что штрафы по разным нарушениям суммируются, сайту грозит блокировка, а особо активные владельцы персональных данных могут пойти в суд и потребовать возмещения морального ущерба.
Как соблюсти требования закона
- Сначала приведите сайт в соответствие с требованиями 152-ФЗ — скорее всего аудит начнут именно с него и в первую очередь придут к тем, у кого на сайте нет ни слова про персональные данные.
- Затем начинайте вносить изменения в документооборот компании — это может занять не один месяц.
- Не используйте данные ваших пользователей для рекламы без их согласия. Это касается и онлайн-пользователей, и покупателей оффлайн-магазинов, которые оставляют свои координаты, получая карты лояльности. Уставшие от назойливых рассылок граждане теперь могут подать на вас жалобу и быть услышанными.
- Если среди ваших сотрудников, клиентов или целевой аудитории есть жители европейских стран, с 26 мая 2018 г. вам также нужно выполнять требования Регламента GDPR.
План действий: сайт
Шаг 1. Разработать и утвердить «Политику конфиденциальности» компании
Владельцам сайтов необходимо разработать и утвердить приказом собственный документ, где будут прописаны права и обязанности оператора в отношении сбора и обработки персональных данных пользователей.
В каких случаях НЕ нужно подавать заявление:
- если вы обрабатываете персональные данные без средств автоматизации (компьютера),
- если вы обрабатываете только внутренние персональные данные (сотрудников, клиентов или партнеров на основании договорных отношений),
- если все данные ваших пользователей находятся в публичном доступе (например, комментарии к записям),
- если вы собираете только ФИО пользователей,
- общественным, религиозным и государственным структурам.
Всем сайтам, где пользователи оставляют адрес электронной почты, телефон или платежные данные, подавать заявление нужно.
План действий: документооборот
Шаг 1. Назначить лиц, ответственных за ПД
Необходимо назначить сотрудника, ответственного за обработку персональных данных в компании — речь идет о данных сотрудников, клиентов и партнеров. Это может быть бухгалтер или кто-то из руководства.
Шаг 2. Составить внутренние правила обращения с ПД
Нужно составить Правила обработки персональных данных в компании и в письменной форме ознакомить с ними сотрудников. В документе, в том числе, нужно отразить уровни доступа к конфиденциальным данным, согласно с должностными инструкциями. Все сотрудники должны подписать Обязательство о неразглашении персональных данных.
Правила обработки персональных данных должны быть прописаны отдельным разделом и в договорах с клиентами и партнерами компании. Также это можно сделать в форме Соглашения, которое подписывается в дополнение к существующему договору.
Не обязательно, но желательно
1. Защитить информационные системы
Если конфиденциальные данные пользователей задействованы в информационных системах (к примеру, в 1С, CRM и т.д.), нужно убедиться в высоком уровне их технической защищенности, составить специальный акт, а при наличии угроз — техническое задание на проект системы защиты с использование продукта, рекомендованного ФСТЭК. Процедура долгая и достаточно дорогая.
В первую очередь, это актуально для корпораций, больших интернет-магазинов, государственных и общественных учреждений. Особенно осторожными нужно быть владельцам компаний, которые собирают и обрабатывают данные более чем 100 000 субъектов, касающиеся политических взглядов, состояния здоровья, интимной жизни, расовой или национальной принадлежности, а также религиозных убеждений.
Риск проверки этого требования ФСТЭК и ФСБ РФ у малого и среднего бизнеса крайне мал. Бюджетный вариант для подстраховки — организовать хранение баз данных в облаке с помощью специального сервиса.
2. Перейти на защищенный протокол HTTPS
Установка протокола HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Если вы до сих пор этого не сделали, то рекомендуем запланировать переход до конца 2018 года.
Для чего это нужно, если кратко: протокол исключает перехват информации сторонним сервисом и ее использование мошенниками, существенно повышая доверие и пользователей, и поисковых систем.
Для корректного перехода на HTTPS обратитесь к своему SEO подрядчику.
Однако практика показывает, что при проверке контролирующий орган скорее всего будет трактовать закон в свою пользу. Рекомендуем всем реализовать тот минимум, который мы изложили, и спать спокойно.
Для наших клиентов на продвижении мы сами выполняем требования к сайту (пункты 1-4).
Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.
Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.
При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.
Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.
Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.
Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.
Нормативная база
Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.
- Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Разберем порядок действий на отдельно взятой информационной системе.
ГИС или не ГИС
Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .
Актуальные угрозы ИБ
Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:
- По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
- Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
- На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
- Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
- На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
Уровень защищенности ИСПДн
Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:
- связанные с наличием недекларированных возможностей в системном программном обеспечении;
- связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
- не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.
Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:
- специальные;
- биометрические;
- общедоступные;
- иные.
В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.
Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:
- до 100 тысяч;
- более 100 тысяч;
- ПДн сотрудников Оператора (без привязки по объему).
На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.
Для Определения УЗ можно воспользоваться специальной таблицей:
Класс ГИС
Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:
- Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
- Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.
На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.
Базовый набор мер
После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.
Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.
Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.
Адаптированный набор мер
Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер .
Дополненный набор мер
Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер .
Система защиты информации
В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.
Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.
Для ГИС применяются только сертифицированные средства защиты информации.
Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН .
Аттестация
После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.
Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.
Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Что в итоге
В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.
Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.
А что потом?
Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.
Удачи на пути создания собственной эффективной системы защиты информации.
Станислав Шиляев , руководитель проектов по информационной безопасности компании «СКБ Контур»
Законодательство не стоит на месте, и вот с 1 июля 2017 года введены новые штрафы за несоблюдение требований Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее - Закон №152). Что нужно сделать уже сегодня, чтобы избежать административную ответственность?
Кого могут наказать?
Согласно Закону №152-ФЗ, персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, в том числе:
- ФИО (вместе и даже по отдельности);
- дата рождения;
- адрес;
- телефон;
- email;
- фотография;
- ссылка на персональный сайт;
- ссылка на профиль в социальных сетях.
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта, имеющий форму обратной связи, или любой работодатель является оператором персональных данных, и как следствие, обязан соблюдать требования Закона №152, так как попадает под административную ответственность.
Следует также различать: если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения - это не сбор персональных данных. Если то же лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись - это сбор персональных данных. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.
За что могут наказать?
Кто может наказать?
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 №228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).
Плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года. Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Но никогда не стоит забывать о внеплановых проверках, по заявлению или жалобе физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Положениями гл. 14 ТК РФ (наравне с Законом №152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).
Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обес-печению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ.
Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. №2202-1.
Какие персональные данные вправе получить работодатель?
Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Такая информация содержится в документах, предъявляемых работником при приеме на работу:
- в паспорте;
- в военном билете (у военнообязанных);
- в свидетельстве о присвоении ИНН;
- в страховом пенсионном свидетельстве;
- в документах об образовании;
- в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции;
- в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции.
Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.
Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152.
Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).
К сведению:
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.
Как обеспечить защиту персональных данных работодателю?
Рассмотрим, что нужно предпринять в хозяйстве в связи с защитой персональных данных сотрудников и других физлиц.
1. До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- сделанных сотрудниками общедоступными;
- полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
- относящихся к членам (участникам) общественного объединения или религиозной организации;
- включающих в себя только фамилии, имена и отчества сотрудников;
- необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
Форма уведомления о намерении осуществлять обработку персональных данных, а также порядок ее заполнения утверждены приказом Роскомнадзора от 30 мая 2017 г. №94. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона №152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона №152-ФЗ).
2. Закрепить порядок получения, обработки, передачи и хранения персональных данных в локальном акте организации. Например в положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального Закона №152-ФЗ).
Отсутствие в организации локального нормативного акта, устанавливающего порядок обработки персональных данных работников, является нарушением трудового законодательства и влечет административную ответственность по ст. 5.27 КоАП РФ (постановления Московского городского суда от 29.08.2011 №4а-1743/11, 4а-1742/11, ФАС МО от 27.11.2006 №КА-А40/11424-06 по делу №А40-17389/06-146-165, от 01.11.2006, 08.11.2006 №КА-А40/10787-06 по делу №А40-32068/06-96-156).
3. Назначить работника, ответственного за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Это может быть сотрудник отдела кадров, который взаимодействует с личными делами сотрудников. Он будет получать согласие работников на обработку персональных данных, вести карточки сотрудников и т.д.
4. Подготовить шаблон согласия на обработку персональных данных. Без него запрашивать личные сведения физлиц нельзя. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона №152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате и месте выдачи документа;
- наименование или ФИО и адрес работодателя, который получает согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Не требуется согласие работника на передачу его персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в налоговые органы;
- военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;
- для предоставления сведений в банк, обслуживающий банковские карты работников, при условии что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать
персональные данные работников либо работодатель действует на основании доверенности на представление интересов работников.
Во всех остальных случаях передача персональных данных производится с письменного согласия работника, из которого должно быть ясно, кому будут передаваться его персональные данные и с какой целью.
Кроме того, работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.
Как работать с персональными данными на сайте?
Действия фактически аналогичны.
1. Подать уведомление об обработке персональных данных в Роскомнадзор.
2. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
3. Сопроводить предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки персональных данных. Это может быть как пользовательское соглашение, согласие на обработку персональных данных, так и договор, политика конфиденциальности, так и часть оферты - название не столь принципиально.
4. Подготовить текст документа с условиями обработки персональных данных. (согласно ст. 9 Закона №152-ФЗ, описано выше).
5. Подготовить документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится
в п. 2 ст. 18.1 Федерального закона №152-ФЗ) и разместите его на сайте в свободном доступе.
Что еще поможет избежать нарушение закона?
1. Сообщить по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали.
2. Удалить данные по первому требованию лица, персональные данные которого хранятся в вашей базе.
3. Хранить базы данных в надёжном месте, защищать их от взлома и утечки (требования определены законодательством!).
4. Обучить сотрудников работе с персональными данными.
5. Не использовать документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои. То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки. Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.
6. И самое главное: лучше привлечь специалистов, которые проведут анализ деятельности компании, выявят все недостатки и нарушения, и помогут составить все необходимые документы, уведомят территориальный орган Роскомнадзора.
Материал подготовлен с помощью СПС Консультант Плюс.
Партнер рубрики «Аграрное право»
