Положение об обработке персональных данных

С 1 июля 2017 года применяются новые высокие административные санкции за нарушения законодательства о персональных данных. Так как, с указанной даты вступил в силу Федеральный закон от 07.02.2017 №13-ФЗ, согласно которому статья 13.11 Кодекса об административных правонарушениях изложена в новой редакции. Так, за несоблюдение требований законодательства о персональных данных установлена административная ответственность в виде штрафа до 70 000 рублей. 

Представляется, что увеличение санкций вероятнее всего приведет к повышенному вниманию надзорных органов к данному вопросу, в первую очередь со стороны территориальных органов прокуратуры и Роскомнадзора.Кроме Роскомнадзора и прокуратуры есть еще два регулятора по данному вопросу: ФСБ РФ и ФСТЭК РФ. Однако, чтобы организации или индивидуальному предпринимателю пройти проверку достаточно выполнить программу «Минимум»: составить необходимый комплект документов, разработать политику обработку персональных данных, разместить ее на сайте компании и направить уведомление в Роскомнадзор. 

Комплект документов необходимых для обработки персональных данных клиентов и работников включает в себя: 

А. Основные документы по персональным данным: 

  1. Политика в отношении обработки персональных данных.
  2. Положение об обработке персональных данных.
  3. Приказ о назначении ответственных лиц.
  4. Инструкция ответственного за организацию обработки персональных данных.
  5. Инструкция ответственного обеспечение безопасности персональных данных.

Б. Документы по обработке персональных данных без использования средств автоматизации: 

  1. Положение об обработке данных без использования средств автоматизации.
  2. Приказ о хранении бумажных носителей персональных данных и назначении допущенных лиц.

В. Документы по персональным данным работников: 

  1. Положение о ведении личных дел работников.
  2. Соглашение о неразглашении информации
  3. Согласие на обработку персональных данных работника.
  4. Оговорка в трудовой договор с работниками.

Г. Документы по персональным данным клиентов: 

  1. Согласие на обработку персональных данных клиента
  2. Оговорка в гражданско-правовой договор с клиентом.

Д. Документы для оформления процедур обработки персональных данных: 

  1. Приказ о допуске к обработке данных
  2. Приказ об утверждении перечня данных
  3. Приказ об утверждении перечня информационных систем
  4. Акт определения уровня защищенности данных
  5. Акт оценки потенциального вреда субъектам
  6. Журнал регистрации нарушения и восстановления
  7. Журнал учета проверок государственными органами
  8. Журнал учета средств защиты
  9. Журнал учета передачи персональных данных
  10. Журнал регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн
  11. Журнал учета съемных носителей персональных данных
  12. Журнал учета прав доступа
  13. Инструкция по антивирусной защите
  14. Инструкция по резервному копированию и восстановлению
  15. Инструкция по учету и хранению съемных носителей
  16. Инструкция по учету лиц, допущенных к обработке
  17. Инструкция пользователя информационной системы
  18. Инструкция пользователя при нештатной ситуации
  19. Приказ об утверждении перечня помещений
  20. Положение о порядке доступа в помещения
  21. Приказ об определении границ контролируемой зоны

Е. Документы для оформления уничтожения и обезличивания информации, содержащей персональные данные: 

  1. Инструкция по порядку уничтожения и обезличивания персональных данных
  2. Приказ о создании комиссии по уничтожению персональных данных
  3. Акт об уничтожении персональных данных

Ж. Документы по обучению сотрудников: 

  1. Инструкция по проведению инструктажа
  2. Журнал учета прохождения первичного инструктажа работниками допущенными к работе с ПДн в ИСПДн

З. Документы по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных: 

  1. Инструкция по проведению внутреннего контроля
  2. Акт контроля соответствия обработки персональных данных
  3. План проведения периодического внутреннего контроля условий обработки персональных данных в ИСПДн

И. Документы по обработке поступающих обращений субъектов персональных данных: 

  1. Инструкция по рассмотрению запросов субъектов персональных данных
  2. Журнал учета обращений субъектов персональных данных и их законных представителей
  3. Сводная таблица действий Оператора в ответ на обращения субъектов персональных данных, их представителей и запросы Уполномоченного органа по защите прав субъектов персональных данных
  4. Форма уведомления органа по защите прав субъектов персональных данных
  5. Форма уведомления субъекта об отказе внесения изменений в персональные данные субъекта
  6. Форма уведомления субъекта об устранении неправомерных действий с его персональными данными
  7. Форма запроса субъекта персональных данных с  отзывом согласия на обработку персональных данных
  8. Форма запроса субъекта персональных данных а блокирование персональных данных
  9. Форма запроса субъекта персональных данных на уничтожение персональных данных
  10. Форма запроса субъекта персональных данных на уточнение персональных данных
  11. Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
  12. Форма отзыва согласия на обработку персональных данных 

Обращаем Ваше внимание, что вышеперечисленный комплект документов представляет собой формы документов, которые Вам нужно будет заполнить самостоятельно. Например, в приказе об утверждении перечня помещений, в которых осуществляется обработка и хранение персональных данных перечислить указанные помещения с указанием их адреса. 

Помощь наших специалистов в составлении указанных документов с учетом Вашей организационной структуры, используемых компьютерных программ, информационных систем, съемных носителей оплачивается отдельно. Стоимость определяется на основании анкетирования Заказчика и устного опроса. 

Кроме подготовки необходимых документов рекомендуем Вам также заказать следующие наши услуги:

1. Подготовка уведомления о постановке на учет в Реестр операторов, осуществляющих обработку персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). В дальнейшем при необходимости внесения изменений в Реестр (в Ваше Уведомление) основанием будет Информационное письмо о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных (согласно части 7 статьи 22 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных»). 

2. Проверка Вашего Интернет-сайта или мобильного приложения с подготовкой письменных рекомендаций (технического задания) по внесению изменений и дополнений, в том числе по размещению политики обработки персональных данных, политики конфиденциальности и пользовательского соглашения. В рамках данной услуги наши специалисты осуществляют разработку следующих документов для размещения на сайте:

  1. Политика конфиденциальности Интернет-сайта.
  2. Пользовательское соглашение с пользователем Интернет-сайта.
  3. Согласие на обработку персональных данных пользователя Интернет-сайта.
  4. Согласие на использование cookie-файлов.
  5. Правила использования cookie-файлов.

Политика обработки персональных данных

Персональные данные - любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"). Исходя из определения персональных данных, которое приведено в Законе, можно сделать вывод, что персональные данные - это любая информация, которая позволяет идентифицировать конкретного человека. 

В соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» организация обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (Положению об обработке и защите персональных данных).

Если организация, осуществляет сбор персональных данных с использованием информационно-телекоммуникационных сетей, то в этом случае организация обязана опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Во всех кабинетах, в которых обрабатываются персональные данные на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности персональных данных в этом кабинете.

Необходимо определить перечень лиц, допущенных к обработке персональных данных работников и клиентов в организации. При этом, каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении персональных данных. 

Уведомление Роскомнадзора об обработке персональных данных 

Роскомнадзор

В соответствии с ч. 1 ст. 22 Закона №152-ФЗ оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона №152-ФЗ. При этом, в соответствии с пунктами 1 и 2 части 2 ст. 22 Закона №152-ФЗ определено, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1. Обрабатываемых в соответствии с трудовым законодательством. То есть, оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Таким образом, если организация обрабатывает только персональные данные своих сотрудников, уведомлять Роскомнадзор организация не обязана.  При этом, чтобы не направлять уведомление, требуется выполнить ряд дополнительных условий. Персональные данные не должны распространяться и предоставляться третьим лицам без согласия субъекта персональных данных. Выполнение первого условия означает, что оператор не будет предпринимать действия, направленные на передачу данных определенному кругу лиц или на ознакомление с ними неограниченного круга лиц, в том числе размещение в средствах массовой информации, в информационно-телекоммуникационных сетях или предоставление доступа к данным иным возможным способом. Другое условие обязывает использовать персональные данные исключительно для исполнения перечисленных условий предоставляет право оператору не уведомлять Роскомнадзор о том, что она занимается обработкой персональных данных.

2. Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. То есть, оператор вправе не уведомлять Роскомнадзор, если он обрабатывает персональные данные, полученные в связи с заключением договора, стороной которого является субъект персональных данных. Но здесь существует ряд ограничений. Воспользоваться этой нормой оператор может лишь при выполнении ряда условий:

  • персональные данные не должны распространяться;
  • персональные данные не должны предоставляться третьим лицам без согласия субъекта ПД;
  • персональные данные должны использоваться оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Например, если организация заключает с рядом работников договоры гражданско-правового характера и выполняет вышеперечисленные условия, уведомлять уполномоченный орган также не требуется.  

Согласие работника на обработку персональны данных 

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (абз. 1 ст. 85 Трудового кодекса РФ). В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.

В соответствии с п. 1 ст. 6 Закона №152-ФЗ обработка персональных данных осуществляется с согласия работника.

Между тем, согласие на обработку персональных данных не требуется в следующих случаях:

  • обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п.п. 2, 5 ч. 1 ст. 6 Закона №152-ФЗ);
  • обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона №152-ФЗ);
  • проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма №Т-2, утвержденная Постановлением Госкомстата России от 05.01.2004 №1), а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др. (абз 1 п. 2 Разъяснений Роскомнадзора (см. приложение к настоящему Отчету);
  • обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
  • обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);
  • персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ).
  • обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 N 402-ФЗ, абз. 6-10 п. 5 Разъяснений Роскомнадзора). 

Обязательство о неразглашении персональных данных 

В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей, и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

Если организация использует методы контроля за работниками: видеонаблюдение; запись и прослушивание телефонных переговоров; росмотр электронной почты; мониторинг посещения веб-страниц в сети Интернет; тестирование на полиграфе (детекторе лжи); наблюдение за перемещением работника посредством навигаторов (например, через системы GPS, ГЛОНАСС); установку компьютерных программ или устройств - кейлоггеров (key logger), регистрирующих различные действия пользователя компьютера (нажатие клавиши клавиатуры, движение компьютерной мыши и т.п.) То в этом случае организация обязана уведомить работников о применяемых методах контроля. Согласно, ст. 21 Трудового кодекса РФ работник имеет право на полную информацию об условиях и охране труда на рабочем месте. Соответственно работник должен быть поставлен в известность о наличии в организации камер видеонаблюдения с момента начала работы или с момента их установки.

Так как, в соответствии со ст. 23 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23 Конституции РФ).

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24 Конституции РФ).

Кроме этого, в соответствии со ст. 152.1 Гражданского кодекса РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина.

В случае ведения видеонаблюдения, у организации должны быть разработаны и утверждены локальные нормативные акты, предусматривающие видеонаблюдение в организации. С указанными актами должен быть ознакомлен каждый работник. Кроме того, должны быть размещены таблички (объявления), предупреждающие о ведении видеонаблюдения.

Если физическое лицо предоставило свои персональные данные организации в целях исполнения гражаднско-правового договора, стороной которого она является, то оператор персональных данных впоследствии не вправе использовать персональные данные физического лица (например, номер телефона, электронный адрес) для рассылки в целях продвижения своих товаров, работ, услуг без получения его согласия, поскольку использование персональных данных в маркетинговых целях не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. При несоблюдении данного условия оператор персональных данных может быть привлечен к административной ответственности.

В соответствии с ч. 1 ст. 15 Федерального закона от 27.07.2006 №152-ФЗ обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

Согласно п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ обработка персональных данных без согласия субъекта допускается в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Исходя из положений статьи 6 Федерального закона от 27.07.2006 №152-ФЗ получение согласия субъекта на обработку персональных данных не требуется, если это непосредственно связано с исполнением и (или) заключением договора. Последующее использование персональных данных в маркетинговых целях никак не связано с исполнением договора, стороной или выгодоприобретателем которого является физическое лицо. Таким образом, оператору персональных данных требуется получение согласия на использование данных в целях продвижения своих товаров. При нарушении указанного требования оператор персональных данных подлежит привлечению к ответственности на основании статьи 13.11 Кодекса РФ об административных правонарушениях.

Вместе с тем необходимо иметь в виду, что запрет на распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, без согласия абонента или адресата на получение рекламы установлен также статьей 18 Федерального закона от 13.03.2006 №38-ФЗ «О рекламе», в связи с чем нарушение указанного запрета в рассматриваемом случае, по нашему мнению, может повлечь применение административной ответственности, предусмотренной ч. 1 ст. 14.3 КоАП РФ за нарушение рекламодателем, рекламопроизводителем или рекламораспространителем законодательства о рекламе.

За несоблюдение требований законодательства о персональных данных установлена административная ответственность статьей 13.11 Кодекса об административных правонарушениях в виде штрафа до 70000 рублей. Заказав у нас документы Вы экономите на штрафах десятки тысяч рублей.