Пошаговая инструкция: защита персональных данных в 2022 году

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Пошаговая инструкция: защита персональных данных в 2022 году». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц очень актуальна в России. Анализ инцидентов последних лет – когда персональные данные граждан массово попадали в открытый доступ – говорит о недостаточности существующих законодательных механизмов.

Новая обязанность операторов персданных

Они должны:

• незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти (Роскомнадзор и др.);
• обеспечивать непрерывное взаимодействие с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (в частности, сообщать о причинах утечки персданных).

Кроме того, уведомлять Роскомнадзор о планах обрабатывать личную информацию нужно теперь и в случаях, когда эти сведения:

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персданные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

До 01.09.2022 в этих и некоторых других случаях извещать ведомство не нужно было.

Вдобавок оператор должен до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как уведомить Роскомнадзор о сборе персональных данных

Конкретный срок направления уведомления законодательством не установлен. Главное – уведомить Роскомнадзор до начала обработки тех или иных персональных сведений. Уведомление представляется по форме, утв. приказом Роскомнадзора от 30.05.2017 № 94. Представить его нужно в управление Роскомнадзора по субъекту РФ по месту регистрации компании в налоговом органе. В уведомлении нужно указать (ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

• наименование компании (ФИО ИП) и ее адрес;
• цель обработки персональных данных (например, заключение трудовых договоров);
• категории персональных данных (в частности, персональные данные, необходимые для оформления трудовых правоотношений);
• категории субъектов, персональные данные которых обрабатываются (работники компании, покупатели и т.д.);
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых способов обработки персональных данных (например, автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой, смешанная обработка персональных данных и т.д.);
• сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
• ФИО сотрудника, ответственного за организацию обработки персональных данных, номер его контактного телефона, почтовый адрес и адрес электронной почты;
• предполагаемая дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
• сведения о месте нахождения базы данных информации, содержащей собираемые персональные данные;
• сведения об обеспечении безопасности персональных данных.

Направить уведомление можно следующими способами:

• в бумажном виде,
• в электронном виде с использованием усиленной квалифицированной электронной подписи,
• в электронном виде с использованием средств аутентификации ЕСИА.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

• цели получения персональных данных работника у третьих лиц;
• предполагаемые источники информации (лица, у которых будете запрашивать данные);
• способы получения данных, их характер;
• возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Порядок и условия обработки персональных данных

В этом разделе перечислите действия, которые будет совершать компания с пересданными. Укажите способы обработки, сроки обработки и хранения. Действия, совершаемые с персональными данными:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

При составлении текста выберите те действия, которые совершает ваша компания с данными. Обычно в Политике перечисляют все способы.

Способ обработки пересданных может быть:

• автоматизированным (с использованием средств вычислительной техники);
• неавтоматизированным (вручную).

В Политике необходимо указать способ, который используют в компании. Чаще всего указывают оба.

Ускоряется обработка данных

По новым поправкам оператор ПДн обязан быстрее реагировать на запросы граждан и РКН.

• Для граждан. Если владелец ПДн обращается с требованием прекратить его обработку данных, оператор обязан остановить её в течение 10 дней. Сведения, касающиеся обработки персональных данных, также предоставляются в течение 10 дней после обращения.
• Для Роскомнадзора. Сведения, касающиеся обработки персональных данных, оператор должен предоставить РКН в течение 10 рабочих дней (раньше было 30). Допускается увеличение срока на 5 дней, если оператор отправит в РКН уведомление с обоснованием продления. Если ответы не устроят РКН несколько раз в течение года, к вам могут прийти с внеплановой проверкой

Как утвердить положение о персональных данных работников?

Для этого надо издать приказ, который обычно подписывает руководитель компании.

Возможные названия приказа:

• «Об утверждении положения о персональных данных работников»,
• «Об утверждении положения об обработке и защите персональных данных работников»,
• «Об утверждении положения о защите персональных данных работников».

В приказе содержится не только информация об утверждении положения, но и дата, с которой оно действует. Например, с конкретного числа или с даты подписания приказа.

Также в приказе обычно:

• назначают лиц, которые должны ознакомить работников организации с положением о защите персональных данных (образец 2022) – как это сделать, мы объясним ниже,
• определяют для этого разумный срок.

Изменения в правилах работы с персональными данными сотрудников в 2022 году

В 2022 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Случаи, когда необходимо отдельное согласие физического лица:

1. Организация занимается распространением данных неограниченному кругу лиц.
2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Нет, не могут. Если вся вышеуказанная информация хранится не в коммерческих целях, а по факту используется для личных нужд, тогда она не является конфиденциальной.

Важен именно процесс использования полученных данных. При передаче номера для личного использования и при соответствующем согласии субъекта персональных данных никакого нарушения нет. Но если передать номер в частную компанию, к примеру, сетевому продавцу косметики, банку, страховой, или другой организации без ведома собственника персональных данных, а эта организация начнет навязывать свои услуги, то это будет уже незаконное распространение конфиденциальных данных.

В подобной ситуации к ответственности можно привлечь как человека, передавшего ваши данные, так и компанию, которая незаконно воспользовалась полученной информацией. Обращаться можно сразу в Роскомнадзор, который привлечет виновных лиц к ответственности.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

• разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
• издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
• назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
• собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
• организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

История и традиции праздника

Событие берет начало 26 апреля 2006 года. Его учредил Комитет министров Совета Европы. Цель праздника – обратить внимание на соблюдение правил при обращении с личными данными. Он призван повысить безопасность жизни граждан ЕС.

Выбранная дата имеет символическое значение. Она приурочена к годовщине подписания Конвенции Совета Европы от 28 января 1981 г. «О защите лиц в связи с автоматизированной обработкой персональных данных». Документ стал первым международным инструментом в области защиты информации. Он определил способы защиты прав человека на неприкосновенность личной жизни и закрепил ряд принципов: законность получения, хранения, обработки персональных данных.

В этот день проводятся конференции и семинары. Докладчики рассказывают об актуальных проблемах. Устраиваются просветительские акции. Участники общественных организаций описывают способы защиты личных сведений. Средства массовой информации повествуют о событии, публикуют тематические материалы, транслируют передачи и фильмы. Выдвигаются законодательные инициативы, рассматриваются предложения по совершенствованию способов обращения с персональными данными. Презентуются профильные проекты, программы, оборудование. Люди, которые имеют отношение к безопасности информации, обмениваются поздравлениями, подарками.

Похожие записи:

• Норматив Потребления 🚰 Воды в 2022 Году на 1 Человека Без Счетчика
• Ежемесячная денежная выплата семьям при рождении (усыновлении) третьего ребёнка
• Если работнику переплатили – как вернуть деньги