РАБОТА С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ЧЕЛОВЕКА.

КАК МОЖНО ИЗБЕЖАТЬ ШТРАФОВ И ДРУГИХ НЕПРИЯТНОСТЕЙ

Защита персональных данных человека

ФЗ-512 о защите персональных данных
В последнее время часто можно услышать ссылки на необходимость защиты персональных данных человека.
Об этом сейчас много говорят и пишут.
В частности, к защите персональных данных всегда аппелируют при рассмотрении вопросов, связанных с определением правовых основ активности человека в виртуальной среде сети интернет.


Почему защите персональных данных человека стали много уделять внимания?

Отношения, связанные с обработкой персональных данных с использованием различных средств автоматизации, в том числе в сети интернет, регулируются федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Соблюдать требования этого закона должны все.

Таким образом, требования, предъявляемые законодательством к условиям обработки наших с вами персональных данных,  распространяются, в том числе, и на отношения, возникающие в связи с размещением информации во всемирной сети интернет.

В нашей стране защита персональных данных сводится к созданию режима обработки персональных данных,
включающего:
создание внутренней документации по организации работы с персональными данными;
внедрение технических мер защиты, в том числе получение лицензий регулирующих органов (ФСБ, ФСТЭК).
(Лицензия ФСТЭК России на техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна)
получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства криптозащиты информации.

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей или вообще ничего об этом не зная и не ведая, как говорится, "ни сном, ни духом".

Тем не менее, вопрос с защитой и правильной организацией обработки персональных данных у организаций и ИП становится актуальным в связи с оформлением трудовых и/или гражданско-правовых отношений с людьми.

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки.
Согласно Кодексу об административных правонарушениях штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение.
А правил для тех, кто вынужден работать с персональными данными, установлено достаточно много.

Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки.

Что же включает в себя понятие "персональные данные"?
В понятие "персональных данных" включается любая информация, относящаяся  прямо или косвенно к определенному или определяемому физическому лицу, т.е. к субъекту персональных данных (в терминологии законодательства).

В рамках договорных отношений с людьми - в силу заключенных с ними от имени организации или ИП соответствующих трудовых и гражданско-правовых договоров - под "персональными данными" можно понимать более узкий состав информации о человеке, связанный, главным образом, с необходимостью однозначной идентификации личности человека и его профессиональной деятельностью.

К такой информации относятся данные соответствующего удостоверения личности человека (паспорта, свидетельства ИНН, страхового свидетельства СНИЛС), которые однозначно идентифицируют личность человека:
имя, фамилия, отчество (при наличии) человека, его место и дата рождения;
адрес места проживания человека;

К персональным данным, связанным с профессиональной деятельностью человека, относятся конечно:
сведения об образовании;
сведения о профессиональных успехах, т.е. о полученных навыках и умениях, предыдущих местах работы (службы), текущей профессиональной деятельности  и так далее.

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных должностное лицо, ответственное за обработку персональных данных, может быть оштрафовано на сумму от 4 до 5 тыс. рублей (статья 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).

В некоторых случаях за разглашение персональных данных полагается также гражданская (статья 151 Гражданского кодекса РФ) и даже уголовная (статья 137 Уголовного кодекса РФ) ответственность.

Как же нам избежать штрафов и других неприятностей, если в силу коммерческой деятельности, организации и предприниматели вынуждены вступать в договорные отношения с людьми и, как следствие, получать, обрабатывать и хранить их персональные данные?

Первое и самое главное!
В организации или у ИП должна быть соответствующая документация.

Главным документом является локальное Положение о персональных данных.

В этом Положении обычно прописывают все требования к получению, хранению, обработке, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

На практике такой документ обычно состоит из разделов,
описывающих:
- каким именно образом в организации или у ИП должен происходить сбор и обработка персональных данных;
- кто и в каком порядке имеет доступ к этим данным;
- какие меры предпринимать для предотвращения разглашения персональных данных.

Начать Положение рекомендуется с раздела «Сбор и обработка персональных данных».
В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника, для чего может использоваться специальная формализованная форма - «Согласие на обработку персональных данных».
Не лишним будет сразу разработать и утвердить форму такого заявления.
На подпись такое заявление надо давать человеку сразу при заключении трудового и гражданско-правового договора.

Далее может следовать раздел «Доступ к персональным данным».
В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).
При необходимости тут можно ввести уровни доступа в зависимости от должности работника.

Продолжит Положение раздел «Порядок обработки и передачи данных».
Здесь следует фиксировать правила для передачи данных о сотрудниках определенным органам или лицам.
В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.
Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в государственные органы.

Закончить Положение лучше разделом «Ответственность».
Здесь достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).

Положение о персональных данных можно разработать, взяв за основу разработанный юристами типовой образец «Положения о работе с персональными данными».


Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами.

Назову некоторые из них:

Приказ руководителя о назначении ответственного по работе с персональными данными физических лиц.
Руководитель организации или ИП должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты.
Таким ответственным может быть как конкретное должностное лицо так и структурное подразделение.
В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень документов, содержащих персональные данные физических лиц (как на бумажных носителях информации, так и в электронном виде).
В этом перечне должны быть:
заявления физических лиц;
анкеты соискателей;
личные карточки или личные дела;
трудовые договора;
кадровые приказы;
трудовые книжки.
Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о людях, которые организация или ИП представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики, ПФР, ФСС и прочие).

Журнал учета персональных данных.
В целях соблюдения режима конфиденциальности персональных данных, а этого требует статья 7 Закона № 152-ФЗ "О персональных данных, в подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации.
Замечу, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

Второе и не менее важное!
Это угрозы для хранящихся персональных данных.
Их можно условно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные.
В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным.

Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, бухгалтера организации или ИП могут получать персональные данные для оформления доверенностей, составления справок 2-НДФЛ и так далее).

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать  очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется, чтобы организовать работу с персональными данными в соответствии с требованиями закона!

Напряжение нарастает! 502-ФЗ "О персональных данных"