Разработка пакета документов по защите персональных данных

Кто признается оператором персданных

Все лица, которые работают с личными сведениями физлиц, признаются операторами персданных, даже если речь идет всего лишь об обработке ФИО граждан. Операторами могут быть государственные/муниципальные органы, юрлица, ИП и даже самозанятые.

Таким образом, операторами являются:

1. все работодатели по умолчанию (и организации, и предприниматели), ведь они обрабатывают информацию о своих сотрудниках с использованием средств автоматизации;

2. любые компании и ИП, которые подписывают договоры с физлицами и обрабатывают их данные, используя средства автоматизации;

3. юрлица и ИП, которые используют пропускной режим и хотя бы раз оформили пропуск для прохода на свою территорию.

Требования закона к операторам персданных

Закон о персданных № 152-ФЗ предъявляет ряд требований к операторам персональной информации.

Во-первых, необходимо уведомить Роскомнадзор о работе с чужими персданными (встать на учет в качестве оператора).

Во-вторых, надлежит обеспечить надежную защиту частной информации в информационных системах, которая стала известна: предотвратить утечку информации, ограничить доступ к этим данным и т. п.

В-третьих, необходимо разработать и утвердить комплект документов, регламентирующих работу с персональной информацией. В том числе подготовить форму согласия субъектов персональных данных на обработку личных сведений и получать такое согласие с каждого субъекта персданных.

В-четвертых, нужно обязательно назначить ответственных лиц и определить перечень тех, кто получит доступ к такой информации.

Перечень документов, необходимый оператору персданных

Список документации, необходимый оператору персданных, определяется в зависимости от масштаба деятельности, целей сбора, объема и содержания полученной информации. Требования к документам установлены в федеральном законе № 152-ФЗ, в Трудовом кодексе (в отношении работников), в Постановлениях правительства и прочих нормативных актах.

Стандартный набор документов, которые могут затребовать у оператора персданных контролирующие органы, включает следующий список.

1. Уведомление Роскомнадзора о работе с личной информацией граждан (уведомление об изменении/прекращении работы).

2. Политика конфиденциальности (политика обработки персональных данных).

3. Положение о правилах работы с персданными (как оператор планирует обрабатывать информацию и защищать).

4. Перечень форм документов, где используются личные сведения граждан.

5. Приказы об определении ответственных лиц, об ограничении доступа к такой информации и т. п.

6. Инструкции ознакомления работников с требованиями по защите персданных, обязательство о неразглашении.

7. Журналы учета и списки сотрудников, получивших доступ к персданным.

8. Регламенты осуществления контроля в компании.

9. Модель угроз в информсистемах персданных.

10. Акты, определяющий уровень защищенности информации и потенциальный вред.

11. Форма согласия на обработку личных сведений и др. дополнительные документы.

Полный пакет документации может насчитывать не один десяток разных наименований актов в зависимости от особенностей деятельности компании или ИП: положения, регламенты, приказы, концепции, инструкции, планы, перечни и прочее. Причем каждый документ должен соответствовать актуальным требованиям закона, чтобы выдержать проверку Роскомнадзора. Поэтому такую работу следует доверять только профессионалам.

Кому точно нужен этот пакет?

Комплект документации по работе с персданными нужен абсолютно всем операторам, которые имеют дело с личной информацией граждан. Это касается компаний и предпринимателей, которые заключают сделки с физлицами или оформляют им пропуска, а также всех работодателей, которые обрабатывают личную информацию своих сотрудников. В некоторых случаях операторами могут выступать и самозанятые, которые заключают сделки через сайт.

Для юрлиц в законе прописан обязательный минимум документов, для ИП конкретного списка нет. Однако необходимый перечень (состав) документации будет зависеть не столько от статуса оператора, сколько от нюансов его работы с персданными.

За разъяснениями по вопросам составления комплекта документов по 152-ФЗ обращайтесь к юристам «Консалт-групп».

Частые ошибки, из-за которых наказывают

Операторы должны отправить сообщение в территориальные органы Роскомнадзора о своих планах обрабатывать персданные. Причем сделать это нужно до начала такой работы, а не после, иначе — штраф. Направить заполненную форму уведомления можно через сервис РКН или госуслуги. В уведомлении требуется указать все необходимые сведения, в том числе мероприятия по обеспечению безопасности информации, ФИО уполномоченных (ответственных) лиц, период обработки персданных (даты начала/окончания, условия прекращения), места хранения баз данных, правила уничтожения информации и пр.

Большой ошибкой операторов будет обработка персданных без получения согласия субъекта. Причем нужно оформлять отдельные согласия на обработку персданных и на их публикацию/передачу третьим лицам (распространение среди неопределенного круга лиц, например, размещение на сайте, в СМИ).

Содержание утвержденных внутренних документов должно полностью соответствовать актуальным требованиям законодательства в области персональной информации. В положении/политике или ином документе должны быть отражены все обязанности оператора:

• извещение Роскомнадзора о компрометации информации (24 и 72 часа),
• своевременное предоставление ответов на запросы и обращения (отвечать нужно в течение 10 рабочих дней),
• разъяснение субъектам последствий отказов предоставить персданные и др.

Серьезное нарушение — указывать в документах пункты, которые ограничат субъектов в правах либо предоставят оператору неограниченные права. Например, недопустимо выяснять вероисповедание при приеме нового сотрудника на работу или отказываться обслуживать клиента, который отказал в предоставлении биометрии.

Также Роскомнадзор проверяет выполнение оператором требования о публикации своей политики, согласно условиям которой он осуществляет сбор и обработку персональных сведений.

Реальные последствия для бизнеса

За нарушения в сфере обработки персданных действует административная ответственность. В серьезных ситуациях суммы штрафов могут достигать полумиллиарда рублей.

Примерные суммы штрафных санкций.

• Сбор персональных сведений без постановки на учет в реестре операторов — штраф до 300 000 ₽.
• Получение персданных без оформленного согласия субъекта — штраф до 700 000 ₽, а при повторных нарушениях — до 1 500 000 ₽.
• Отсутствие политики обработки персданных на сайте — штраф до 60 000 ₽.
• Если не сообщить в РКН об утечке сведений — штраф до 3 000 000 ₽.
• Компрометация биометрии может стоить до 3% годовой выручки (от 25 000 000 ₽ до 500 000 000 ₽).

При этом операторы не освобождаются от обязанности возместить гражданам вред (моральный и материальный). Также операторы могут быть подвергнуты уголовному преследованию в рамках ст. 137, 272.1 УК.

Как мы работаем

Алгоритм взаимодействия с «Консалт-групп» прост и понятен.

1. Вы оставляете письменную заявку или звоните нам.
2. Наши специалисты консультируют вас о требованиях закона к документам оператора персданных.
3. Выяснив ваши потребности и особенности работы с персданными (цели сбора сведений), эксперты «Консалт-групп» согласовывают с вами комплект документации и приступают к разработке документов.
4. Вы получаете согласованный комплект документов по персданным для утверждения.

Теперь вы можете не бояться проверок Роскомнадзора на соответствие требованиям 152-ФЗ.