02.12.2009 Валерий Васенин, Кирилл Шапченко

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов остались открытыми. Без их решения многие из положений закона не смогут быть реализованы на практике.

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов, связанных в первую очередь с механизмами обеспечения информационной безопасности, в силу объективных технологических причин остались открытыми. Попробуем систематизировать некоторые из них и обозначим подходы к их решению.

Рассматривая вопросы обеспечения информационной безопасности, возникающие при сборе, обработке, хранении и использовании персональных данных, следует выделить несколько условных уровней их разрешения.

Уровень 1. Персональные данные находятся под контролем субъекта, к которому они относятся. В этом случае вся ответственность по обеспечению их безопасности на этапах сбора, первичной обработки и систематизации, хранения и предоставления другим пользователям возлагается на самого субъекта. Исходя из положений ФЗ-152 он определяет политику безопасного использования таких данных, архитектуру и набор средств защиты, собственно их аппаратно-программное обеспечение. В этом случае ответственность за реализацию нормативных актов ложится на субъекта персональных данных. Регулятор может оказывать субъекту методическую помощь и содействие.

Уровень 2. Управление персональными данными берет на себя посредник – юридическое или физическое лицо, заключающее с субъектом персональных данных договор, определяющий условия их сбора, обработки, хранения и использования. В этом случае вся полнота ответственности за их информационную безопасность возлагается на организацию-посредника.

Уровень 3. Управление персональными данными осуществляют субъекты таких данных вместе с организацией той или иной формы собственности, которая не специализируется в области управления персональными данными, однако по роду своей деятельности обладает таковыми в составе коллекций других документов и вынуждена собирать их, обрабатывать и хранить. К числу таких организаций относятся, например, банки, различного рода другие кредитные организации, учреждения социальной направленности и ведомства силового блока. Посредником в таком взаимодействии могут выступать и организации, специализирующиеся в области управления персональными данными. Как следствие, при этом возникают угрозы несанкционированной утечки персональных данных через различные каналы связи, а также извлечения персональных данных из других коллекций данных и документов более общего характера. В ходе работы с документами в подобных организациях сложно гарантировать, в первую очередь с позиций технологических и административно-организационных, что будут приняты все декларируемые положениями ФЗ-152 меры по обеспечению безопасности персональных данных и соблюдению права субъекта на санкционированный доступ к своим персональным данным в коллекциях документов и на обработку его персональных данных.

Разработка механизмов эффективной реализации положений и требований закона в полном объеме, выпуск спецификаций к реализующим такие механизмы программным средствам, создание высокофункционального, верифицируемого и отчуждаемого программного обеспечения информационных систем обработки персональных данных – все это относится к важнейшим задачам государства. Но далеко не все вопросы на этом направлении сегодня решены. Рассмотрим отдельные положения ФЗ-152, требования к функциям информационных систем для обработки персональных данных, к механизмам их реализации, которые заслуживают особого внимания и диктуют необходимость проведения дополнительных теоретических и прикладных исследований.

Отправные положения и функциональные требования

Статья 3 закона определяет ряд основных понятий, касающихся действий, которые производятся с персональными данными: распространение, блокирование, уничтожение и обезличивание персональных данных. Эти операции должны составлять основу бизнес-процессов информационной системы для работы с персональными данными. В контексте целей настоящей публикации обратим внимание на отмеченное в пункте 2 данной статьи функциональное требование к такой информационной системе – предоставление гарантий по ограничению срока хранения данных в зависимости от состояния процесса их обработки.

Интерпретируя статью 19, в первую очередь следует отметить цели обеспечения безопасности, связанные с защитой персональных данных от несанкционированного доступа при выполнении таких операций, как чтение, изменение и удаление данных. Требование защиты от неправомерного блокирования персональных данных влечет за собой необходимость обеспечения не только их конфиденциальности и целостности, но и доступности. Более детальные требования, согласно пункту 2 статьи 19, утверждаются Правительством РФ. Одним из документов, регулирующих этот аспект информационных систем персональных данных, является Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В пунктах 11 и 12 перечисляются основные требования и мероприятия по обеспечению безопасности, устанавливаются требования по перманентному контролю за состоянием защищенности информационной системы персональных данных, повышенные требования по восстановлению после сбоев и несанкционированных действий, а также по разработке и описанию модели угроз персональным данным, по созданию системы их защиты. Разработка методических материалов по обеспечению безопасности информационных систем для работы с персональными данными возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на Федеральную службу безопасности Российской Федерации в пределах их полномочий. Реализация перечисленных требований – технологически сложная задача, механизмов решения которой в полном объеме сегодня нет.

В статье 21 закона отмечается необходимость реализации таких служебных операций в информационных системах персональных данных, как блокирование и снятие блокировки с персональных данных, а также их надежное удаление. Такие операции должны быть «привязаны» к статусу обрабатываемых персональных данных и к состоянию процессов их обработки, а именно – должны выполняться по завершении обработки и в случаях обнаружения неправомерных операций с данными либо выявления их недостоверности. Указанное обстоятельство свидетельствует о повышенных требованиях к механизмам управления бизнес-процессами в организации-посреднике при работе с персональными данными. Разработка таких механизмов, регламентов их применения и программных реализаций с использованием традиционных средств вычислительной техники с позиций требований руководящих документов ФСТЭК, других стандартов и рекомендаций – отдельная, технологически сложная задача.

Дополнительное требование к функциональным возможностям информационных систем обработки персональных данных определяется в статье 14 закона. Пункт 4 этой статьи указывает на необходимость предоставления субъекту персональных данных служебной информации о процессах обработки таких данных. Выполнение этих требований возможно только с применением механизмов детального протоколирования процессов обработки и использования персональных данных, в том числе – протоколирования информации о режиме доступа к таким данным. Реализация этих требований в полном объеме с использованием традиционных информационных систем на настоящее время пока не представляется возможной.

Перечисленные отдельные положения закона требуют более детального осмысления, в первую очередь – с позиции их применения на практике, разработки необходимого для этого математического и программного обеспечения.

Требования к информационным системам

Проанализируем некоторые положения закона с точки зрения требований к механизмам и формальным моделям, удовлетворяющим букве ФЗ-152. Во-первых, отметим, что в информационной системе для обработки персональных данных должен вводиться дополнительный класс объектов – класс персональных данных. Правила доступа к объектам этого класса необходимо задавать отдельно от других. Кроме того, возможно определение отдельных категорий данных такого вида с отличающимися правилами доступа к ним. Как следствие, может быть востребована реализация процедур изменения категории доступа к персональным данным, например, при их обезличивании.

Отмеченные обстоятельства указывают на необходимость разработки формальных моделей логического разграничения доступа к данным и реализующих их программных средств, адаптированных к потребностям и особенностям обработки и использования персональных данных. В том числе представляется целесообразным при формировании механизмов блокирования и снятия блокировки с персональных данных в максимальной степени использовать традиционные в системах защиты информации средства разграничения доступа. На основе верификации программного кода и, как следствие, корректной программной реализации моделей и механизмов логического разграничения доступа может быть выполнена часть требований к защите персональных данных, представленных в части 1 статьи 19. Заметим, что их следствием является высокий оценочный уровень доверия к автоматизированным системам. Суть этих требований сводится к предотвращению несанкционированного доступа к персональным данным с целью их чтения или изменения, а также к предоставлению гарантий на потоки данных в информационной системе, включая копирование и распространение.

С точки зрения разработки механизмов и программных средств автоматизированного управления персональными данными важно отметить необходимость реализации механизмов их надежного удаления из информационной системы. Надежное удаление, как правило, подразумевает уничтожение самого удаляемого объекта и всех его копий, включая резервные и временные, которые создаются под потребности используемых аппаратно-программных средств. Разработка механизмов и программного обеспечения такого удаления – отдельная и достаточно тонкая задача, требующая своего решения.

Для того чтобы эффективно контролировать сроки хранения персональных данных и выполнять процедуру их своевременного надежного удаления, должны быть созданы механизмы мониторинга состояния процессов обработки и использования персональных данных. Представляется целесообразным совместить решение этой задачи с созданием специализированной системы управления бизнес-процессами, адаптированной для выполнения действий над персональными данными. Срок выполнения ряда операций над персональными данными может устанавливаться неявно, например через условие, что обработка данных завершена либо перестала быть необходимой. Своевременное реагирование на выполнение такого условия, в свою очередь, приводит к необходимости формального описания, проектирования средств автоматизации процессов обработки персональных данных с целью обеспечить гарантированное (с высокой вероятностью) выполнение операций их удаления по истечении срока хранения.

Принимая во внимание упомянутые требования закона по реализации своевременной выдачи субъекту персональных данных информации о процессах их обработки, необходимо строго поставить и решить задачу о выборе адекватной схемы хранения самих персональных данных и информации об операциях с ними. Поскольку информация, которая должна быть выдана субъекту, содержит как непосредственно персональные данные о нем, так и метаданные, связанные с процедурой их обработки, необходимо вести оперативный учет и обладать возможностями получения подобной дополнительной информации по требованию. Механизмов и программных средств, обладающих должным оценочным уровнем доверия и позволяющих реализовать такие функции, в составе автоматизированных систем, представленных на ИТ-рынке, сегодня не существует. Разработка таких систем в развитие положений Постановления Правительства РФ № 781 – важная задача.

Отметим, что требования по организации перманентного контроля за обеспечением надлежащего уровня защищенности персональных данных, изложенные в Постановлении, указывают на необходимость проведения исследований, разработки механизмов и создания комплекса средств для проведения аудита информационных систем персональных данных на предмет оценки уровня их защищенности как в целом, так и обрабатываемых с их помощью персональных данных в частности. В состав подобного комплекса целесообразно включать инструментальные средства для проведения такого исследования экспертом-аудитором и автоматизированные системы активного аудита, позволяющие в режиме реального времени производить оценку состояния защищенности подконтрольных информационных систем и принимать решения по противодействию деструктивным воздействиям, если такие обнаруживаются. Принимая во внимание относительно высокий оценочный уровень доверия, которым должны обладать системы для обработки персональных данных, выбор соответствующих средств вычислительной техники и архитектурно-технологических решений обязан быть предметом отдельного исследования с привлечением критериальных подходов к оценке безопасности.

Предложения по реализации

В рамках работ по созданию теоретических и методических основ обеспечения безопасности персональных данных, а также последующей реализации поддерживающих такие данные специализированных информационных систем представляется целесообразным провести ряд мероприятий.

Разработать проект типовой информационной системы, включающий описание ее архитектуры и набора моделей, адекватно отражающих: схему хранения персональных данных; модель логического разграничения доступа, позволяющую учитывать персональные данные как отдельный класс объектов доступа; процедуры, гарантирующие выполнение требований, указанных в законе, а также формальные модели, строго подтверждающие их выполнение; модель организации эффективного доступа к персональным данным для выполнения санкционированных действий с ними; модель предоставления гарантий на потоки персональных данных; архитектуру средств обеспечения безопасности в составе информационной системы персональных данных.

На основе разработанной и формально проверенной теоретической модели произвести выбор программных средств, их последующую модификацию и интеграцию в информационную систему персональных данных. В числе таких средств должны присутствовать следующие программные компоненты: механизмы логического разграничения доступа и их настройки; средства, гарантирующие выполнение заданных процессов обработки персональных данных с установленными для таких процессов требованиями; дополнительные средства защиты, в том числе средства контентной фильтрации, реализующие функциональные возможности по предотвращению утечек персональных данных через каналы их передачи, контроль над которыми не может быть обеспечен с использованием традиционных механизмов разграничения доступа; средства активного мониторинга состояния работоспособности элементов информационной системы персональных данных, позволяющие своевременно обнаруживать сбойные ситуации и оперативно реагировать на них.

Коллекции персональных данных, как информационные активы повышенных категорий защищенности (уровней доверия), представляют собой национально значимые объекты. Они так же, как, например, потенциально опасные и критически важные объекты, требуют особого внимания со стороны государства. Поиск ответов на представленные в статье вопросы является не только актуальной, но и национально значимой задачей. Без ее решения многие из положений ФЗ «О персональных данных» не смогут быть реализованы на практике.

Валерий Васенин, Кирилл Шапченко ({vasenin,shapchenko}@msu.ru) - сотрудники Института проблем информационной безопасности МГУ им. М. В. Ломоносова (Москва).

Несмотря на то что федеральные службы разработали ряд нормативных документов, регламентирующих работу с персональными данными, сам ФЗ-152 и ряд сопутствующих подзаконных актов вызвали неоднозначную реакцию у всех участников рынка информационной безопасности.

Что должны сделать ИТ-компании, чтобы соответствовать ФЗ №?152?

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

• На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
• Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
• Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
• Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
• Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

• Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
• Добавим страницу «Соглашение об обработке персональных данных»
• Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
• Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
• Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
• Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
• Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
• Проконсультируем по любым возникшим вопросам

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных - до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR) "».)

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран - членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем - к самим физическим данным. GDPR - это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных - это лицо, чьи персональные данные собираются. Управляющий данными - это организация, собирающая данные. Обработчик - это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна - член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны - члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах - членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган - DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа - слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Руководство компаний не готово к GDPR

Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности.

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% - почтовые адреса клиентов.

66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR - это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017

Скачать файл

Законодательство о персональных данных в Российской Федерации уже давно стало предметом бурных обсуждений среди практикующих юристов и бизнес-сообщества. Особую актуальность тематика персональных данных приобрела после ужесточения административной ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – "Закон о персональных данных"), в частности с вступлением с 01 июля 2017 г. в силу поправок в статью 13.11 КоАП РФ .

Корпоративная деятельность неразрывно связана с получением и обработкой персональных данных. Так, например, хозяйственное общество обязано предоставлять по запросу акционера документы общества, которые могут содержать в числе прочего персональные данные. Другим примером может быть раскрытие информации о крупных акционерах, членах совета директоров общества на официальном сайте компании, где могут фигурировать персональные данные. Наконец, обращение к родственникам с целью сбора и передачи обществу информации о юридических лицах, в которых заинтересованные лица, их супруги, родители, дети, полнородные и неполнородные братья и сестры и (или) их подконтрольные организации занимают должности.

Наиболее часто используемым основанием для обработки персональных данных является согласие субъекта. Вместе с тем оно требуется далеко не всегда. Закон о персональных данных предусматривает несколько исключений, когда получение согласия субъекта на обработку персональных данных не требуется. Эти исключения предусмотрены в статье 6 Закона о персональных данных, которая содержит условия обработки таких данных.

В сфере корпоративного управления наиболее часто используются следующие два исключения, когда при обработке персональных данных согласие субъекта не требуется:

1) Обработка персональных данных, подлежащих раскрытию или опубликованию по закону (подп. 11 ч. 1 ст. 6);

2) Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6).

Обработка персональных данных, подлежащих раскрытию или опубликованию по закону

Чаще всего в рамках корпоративного управления персональные данные раскрываются в целях соблюдения требований законодательства. Так, например, персональные данные членов совета директоров раскрываются при публикации годовых отчетов акционерного общества в соответствии со статьей 92 Федерального закона от 26.12.1995 № 208-ФЗ "Об акционерных обществах" (далее – Закон об акционерных обществах). Сведения об аффилированных лицах акционерного общества раскрываются в соответствии с главой 73 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг . Члены совета директоров предоставляют акционерному обществу информацию о занятии ими, их супругами, родителями, детьми, братьями и сестрами, усыновителями или усыновленными должности в органах управления другого юридического лица согласно пункту 2 части 1 статьи 82 Закона об акционерных обществах. Возникает вопрос, нужно ли в данном случае получать согласие субъекта на обработку его персональных данных?

Здесь действует следующее правило: согласие субъекта персональных данных не требуется при соблюдении следующих условий:

1. Условие 1. Если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом ; или

2. Условие 2. Если обработка персональных данных необходима для осуществления и выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством Российской Федерации .

Указанные условия Закона о персональных данных идут "плечом к плечу", и можно смело говорить о том, что в отсутствие условия 1 оператор мог бы обрабатывать персональные данные, подлежащие обязательному опубликованию или раскрытию, руководствуясь условием 2, – т.е. для осуществления и выполнения функций, возложенных на него законодательством. Обратим, однако, внимание на то, что в отличие от условия 1, где речь идет о соблюдении федерального закона, в условии 2 используется понятие "законодательство Российской Федерации".Следовательно, в соответствии с данным условием возможна обработка персональных данных, если это предусмотрено как федеральными законами, так и постановлениями правительства, а также актами органов власти субъектов или органов местного самоуправления.

Таким образом, следует придерживаться простого правила: если обработка (в том числе предоставление, раскрытие) предусмотрена законодательством Российской Федерации, согласие субъекта персональных данных на такую обработку не требуется. Если обработка персональных данных не предусмотрена законодательством или обработка происходит в объеме большем, чем предусмотрено законодательством, на такую обработку потребуется согласие субъекта.

Разберем данное правило на простых примерах.

Раскрытие сведений о членах совета директоров акционерного общества

Публичные общества, а также непубличные общества с числом акционеров более 50 обязаны раскрывать годовой отчет в соответствии со статьей 92 Закона об акционерных обществах.

Пример 1. Общество раскрыло на своей странице в сети Интернет краткие биографические данные членов совета директоров в объеме, предусмотренном пунктом 70.3 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг (год рождения, сведения об образовании, сведения об основном месте работы).

Согласие членов совета директоров на данное раскрытие информации не требуется, т.к. такое раскрытие предусмотрено законодательством.

Пример 2. Общество раскрыло на своей странице в сети Интернет данные о семейном положении членов совета директоров.

На данное раскрытие требуется согласие членов совета директоров, т.к. такое раскрытие не предусмотрено законодательством.

По общему правилу, для публикации фотографий членов совета директоров требуется согласие, т.к. такая публикация не является обязательной в соответствии с требованиями законодательства. Однако есть обстоятельства, при которых согласие не требуется. Такие обстоятельства указаны в статье 152.1 Гражданского кодекса Российской Федерации, а именно: использование изображения в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке в местах, открытых для свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату.

При этом отсутствие необходимости получения согласия субъекта не означает, что все требования законодательства при обработке персональных данных соблюдены. Общие принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных, должны соблюдаться. К таким принципам относится, в частности, соответствие содержания и объема персональных данных заявленным целям обработки. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если цель обработки персональных данных – соответствие требованиям по раскрытию информации, то раскрытие данных, не предусмотренных законом, уже не будет соответствовать заявленной цели.

Если, исходя из изложенного выше правила, требуется получать согласие субъекта на обработку его персональных данных, можно использовать форму согласия, приведенную ниже .

Согласие на обработку персональных данных Я, [ФИО субъекта], паспорт серии [●] номер [●], выдан [●], зарегистрированный по адресу [●], даю согласие [наименование общества – оператора персональных данных], расположенному по адресу [●], на обработку, а именно на [конкретизировать действия с персональными данными, например, сбор, запись, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение] следующих персональных данных: [перечислить персональные данные, на обработку которых дается согласие, для Примера 2 и Примера 3 выше это данные о семейном положении и фотография] с целью [указать цели обработки персональных данных; в указанных примерах это может быть размещение указанных персональных данных в сети Интернет на определенном сайте.] Я проинформирован (-на) о том, что указанные выше персональные данные могут обрабатываться как автоматизированным, так и не автоматизированным способами обработки. Согласие на обработку персональных данных дано на срок [указать срок; в указанных выше примерах это может быть срок, на который назначен член совета директоров]. Согласие на обработку персональных данных может быть отозвано на основании письменного обращения субъекта персональных данных с требованием к оператору о прекращении обработки персональных данных. ___________________ (Ф.И.О. полностью, подпись)

Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6 Закона о персональных данных)

Обработка персональных данных при предоставлении акционерам доступа к документам. Вопрос об обработке персональных данных встает и в случае, когда речь идет о предоставлении персональных данных акционерам/участникам общества в соответствии со ст. 91 Закона об акционерных обществах и ст. 50 Закона об обществах с ограниченной ответственностью. В частности, когда запрос акционера/участника связан с предоставлением персональных данных физических лиц, входящих в органы управления юридического лица, или лиц, вступивших в правоотношения с таким обществом.

В данном случае доступ к документам предоставляется с учетом позиций, изложенных в Информационном письме ВАС РФ от 18.01.2011 № 144 (далее – Письмо). Письмо предусматривает, что участник хозяйственного общества вправе получать информацию о физических лицах, вступивших в правоотношения с таким обществом, если это необходимо для защиты им своих прав и законных интересов. Речь идет, например, о случаях оспаривания участником сделки, заключенной обществом, либо предъявления иска члену совета директоров или генеральному директору с требованием о возмещении причиненных обществу убытков. В таких случаях заявитель вправе запрашивать у общества информацию и документы, содержащие в числе прочего персональные данные физических лиц, необходимые для обращения в суд, со ссылкой на пункт 7 часть 1 статьи 6 Закона о персональных данных.

Позиция, выработанная ВАС РФ, находит свое применение на практике. Так, арбитражный суд Дальневосточного округа признал незаконным отказ налогового органа предоставить копии документов из регистрационного дела по запросу конкурсного управляющего должника . Одним из оснований для отказа стало то, что документы по запросу конкурсного управляющего содержали в себе персональные данные учредителей компании. Отказ налогового органа был признан судом незаконным со ссылкой на то, что обработка персональных данных в данном случае необходима для осуществления прав и законных интересов оператора или третьих лиц. В частности, согласно законодательству о банкротстве конкурсный управляющий исполняет обязанности руководителя должника и действует на основании и во исполнение судебного акта о признании должника несостоятельным (банкротом). В силу этого непредставление по запросу конкурсного управляющего сведений, содержащих среди прочего персональные данные, будет являться нарушением, так как препятствует сбору сведений о должнике и, как следствие, реализации конкурсным управляющим предоставленных законодательством о банкротстве специальных полномочий.

В другом деле арбитражный суд Западно-Сибирского округа признал незаконным отказ налогового органа в предоставлении протокола общего собрания общества с ограниченной ответственностью по причине нарушения прав субъектов персональных данных. Речь шла о предоставлении протокола, содержащего в себе паспортные данные физического лица, который не давал согласия на признание сведений о себе общедоступными. На этом основании налоговый орган ответил отказом, ссылаясь на пункт 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (далее – Закон о государственной регистрации). Согласно Закону о государственной регистрации сведения и документы, содержащиеся в реестре, являются открытыми и общедоступными, за исключением сведений с ограниченным доступом (абз. 2 п. 1 ст. 6 Закона о государственной регистрации). В соответствии с ограничениями законодательства о государственной регистрации данные документа, удостоверяющего личность, могут быть предоставлены лишь по запросу органов государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Однако данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц .

Изначально такое ограничение по предоставлению информации и копий документов из реестра было установлено в целях защиты сведений от посягательств лиц, не имеющих никакого отношения к обществу. В случае же, когда речь идет о предоставлении заявителю документов (включая протоколы общего собрания) общества, участником которого он является, основания для отказа отсутствуют. В связи с этим при обращении с запросом информации или корпоративных документов следует, прежде всего, учитывать характер запрашиваемой информации (документа); субъектный состав участников правоотношений; доказательства нарушения прав субъектов персональных данных или отсутствие таких нарушений.

Обработка и условия передачи персональных данных работника. При обработке персональных данных сотрудников необходимо руководствоваться разъяснениями Роскомнадзора , которыми установлены следующие правила. Согласие сотрудника на обработку его персональных данных не требуется при соблюдении следующих критериев:

(а) объем данных для обработки соответствует установленным законодательством пределам;

(б) цель обработки данных сотрудника не противоречит трудовому или иному специальному законодательству.

В разъяснениях Роскомнадзора прямо сказано, что согласие работника не требуется при обработке персональных данных в случаях, установленных трудовым договором, коллективным договором или иными правилами внутреннего трудового распорядка. Однако это не означает, что в локальные нормативные акты (далее – ЛНА) можно транслировать все что угодно. Главной задачей здесь является принятие ЛНА в порядке, установленном отраслевым законодательством, и отсутствие противоречий с принципами и положениями действующего трудового законодательства. Только если обработка ПД осуществляется в соответствии с надлежаще разработанными ЛНА и цели обработки соответствуют действующему трудовому законодательству, получать согласие работника нет необходимости.

На практике существует достаточно много примеров, когда работодатель может осуществлять обработку персональных данных без получения согласия сотрудника . Как правило, речь идет о случаях, когда обработка персональных данных необходима для выполнения работодателем, выступающим в качестве оператора, обязанностей, предусмотренных законодательством. В частности, если речь идет об образовательном учреждении, то законодательством предусмотрено, что на его сайте должна размещаться и обновляться информация, включающая в себя в числе прочего персональные данные сотрудников . Например, фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, информация о персональном составе педагогических (научно-педагогических) работников.

Правила о получении согласия работника на обработку его персональных данных не применяются , когда речь идет о передаче персональных данных третьим лицам в целях предотвращения угрозы для жизни или здоровья сотрудника. Кроме того, трудовое законодательство предусматривает передачу персональных данных сотрудника в Пенсионный фонд и Фонд социального страхования без согласия работника со ссылкой на ст. 22 Трудового кодекса Российской Федерации. Наконец, законодательство предусматривает передачу персональных данных сотрудника без его согласия в налоговые органы, профсоюзы и военные комиссариаты или по мотивированному запросу прокуратуры и правоохранительных органов .

Анализ изложенных выше примеров и комментариев законодательства позволяет предложить следующие рекомендации при обработке персональных данных в сфере корпоративного управления.

Во-первых, руководствоваться правилом о том, что если обработка персональных данных предусмотрена законодательством, то согласие субъекта на обработку не требуется. Вместе с тем оператору персональных данных следует проверять и соблюдать, в каком объеме законодательство предусматривает раскрытие персональных данных. В противном случае может потребоваться согласие на обработку.

Во-вторых, операторам рекомендуется обращать внимание на принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных. Одним из принципов, на который стоит обратить особое внимание при обработке – соответствие содержания и объема персональных данных заявленным целям обработки. Велика вероятность, что такие принципы будут толковаться в пользу субъекта персональных данных как более слабой и уязвимой стороны по сравнению с оператором.

В-третьих, при обращении акционера/участника общества с запросом об ознакомлении с документами общества, которые могут содержать персональные данные, следует учитывать характер и объем запрашиваемой информации/документа, а также статус лица, направившего запрос.

Наконец, общей рекомендацией может быть предварительно оценивать риски нарушения прав акционеров/участников общества при отказе в предоставлении информации/документов с одной стороны и риски нарушения прав субъектов персональных данных при раскрытии информации/документов, содержащих эти данные. Попытка оценить риски и взвесить плюсы и минусы в случае отказа или раскрытия персональных данных в корпоративном управлении позволит оператору персональных данных избежать ответственности или как минимум выбрать меньшее из зол.

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

• фамилию, имя, отчество;
• адрес проживания;
• электронный адрес;
• номер телефона;
• дата рождения;
• место рождения;
• национальность;
• вероисповедание;
• место работы;
• должность;
• рост;
• и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

• сотрудников, работающих по трудовым договорам;
• работающих по договорам ГПХ;
• и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных , как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
   • Приказ о назначении ответственного за организацию обработки персональных данных;
   • Документ, определяющий политику оператора в отношении обработки персональных данных;
   • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
   • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
   • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
   • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
   • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
   • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
   • Документ о классификации информационных систем;
   • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
   • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

• По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

• Ознакомит со своей Политикой в отношении персональных данных клиентов.
• Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать	Сумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.	от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)	от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)	от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.	от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.	от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

• В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
• Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф : для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных . Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф : для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

***

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

• включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
• соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
• добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
• оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Связаться с экспертом