Защита персональных данных, что это такое, защита в организации в 2021 году пошаговая инструкция, работник, как защитить в интернете, система

28 января во всем мире отмечается Международный день защиты персональных данных.

Праздник учрежден для того, чтобы напомнить пользователям интернета о соблюдении правил поведения в Сети, которые помогают защитить конфиденциальную информацию от посторонних лиц.

О том, как избежать утечек информации, рассказал Даниил Чернов, директор центра решений безопасности ПО компании «Ростелеком-Солар».

Хакеры получили доступ к исходному коду Microsoft

Количество писем и сообщений, которые получает пользователь от брендов и онлайн-магазинов, постоянно растет.

Часто злоумышленники пользуются доверием людей и с поддельных email-доменов и номеров отправляют привлекательные спецпредложения, срок действия которых строго ограничен.

Их цель — побудить пользователей перейти на фейковый сайт, который практически полностью имитирует официальный, и совершить на нем ввод персональной информации и данных банковской карты. Торопясь воспользоваться предложениям, люди часто попадаются на эту уловку.

Оперативно ставьте программные обновления

Разработчики операционных систем и приложений систематически выпускают новые версии, в которых добавляют новые возможности для пользователей, а также исправляют уязвимости системы. Вместе с тем, когда выходит обновление, появляется его описание в сети.

Таким образом, злоумышленники получают сигнал о том, что в новой версии исправлена уязвимость, а значит могут направить усилия на атаку пользователей системы, которые еще не успели обновить программное обеспечение до новой версии и могут быть подвержены конкретной угрозе.

Как правило, эксплуатация этих уязвимостей приводит к утечке данных о пользователе.

Не загружайте программное обеспечение и любые другие файлы из непроверенных источников

Вместе с этими файлами пользователь рискует установить шпионское ПО, которое может долгое время скрываться в устройстве, ничем себя не выдавая. Программа-шпион коллекционирует данные о пользователе, записывает все нажатия клавиш и делает снимки с экрана. После этого информация отправляется владельцу вредоносной программы. Как он ей распорядится — неизвестно.

Остерегайтесь публичных сетей Wi-Fi

Чем опасен вирус, маскирующийся под самую обсуждаемую игру года

Точки доступа к бесплатному интернету окружают нас везде: вокзалы, аэропорты, кофе-поинты и т.д. Через них можно получить информацию о посещенных сайтах, логины, пароли, адреса электронной почты и т.д.

Организациям, которые ставят публичные Wi-Fi, эта информация, как правило, не интересна. Однако киберпреступники очень живо ею интересуются.

Чтобы выудить данные о пользователях, они ставят бесплатные Wi-Fi-ловушки, через которые могут украсть персональные данные и пароли пользователей, подключившихся к их сети.

Читайте пользовательское соглашение

Разработчики приложений обязаны запрашивать разрешения пользователей на обработку и передачу их персональных данных.

Эти пункты содержатся в больших лицензионных соглашениях, которые принимают пользователи при установке приложений. Подавляющее большинство людей их принимает, не читая.

Так, мы сами даем разработчикам софта разрешение на передачу персональных данных третьим лицам, которые используют их в своих целях.

Проверьте и настройте доступ приложений к камере, микрофону, геолокации, галерее и файлам

Бизнес-модель многих приложений основана на монетизации персональных данных. Они бесплатно предоставляют полезный и интересный для широкой аудитории функционал, но взамен требуют согласия на обработку и передачу персональных данных третьим лицам.

Лучше воздержаться от предоставления избыточной информации о себе, ограничив доступ приложения только к тем данным, которые требуются для функционирования системы.

Если приложение для чтения книг хочет получать доступ к вашей геолокации — это повод насторожиться.

Используйте сложные и разные пароли

Как узнать, что ваш телефон взломали. Пять признаков

Современные киберпреступники используют сложные технологии для подбора паролей. Эти системы подбирают стандартные пароли или простые связки. Если пароль короткий, в нем отсутствуют цифры, буквы разного регистра, специальные символы, его легче взломать.

При этом необходимо использовать разные пароли к учетным записям. Похитив или подобрав пароль к одной, злоумышленники обязательно попробуют использовать его для других. Если эти пароли совпадают, злоумышленник не только соберет данные со всех учетных записей, но и сможет совершать через них необходимые ему операции.

Пользуйтесь антивирусным ПО

Антивирус анализирует файлы и элементы сети на предмет вредоносной активности, а в случае ее обнаружения устраняет проблему. Даже бесплатная версия программы способна защитить от основных видов кибератак, последствиями которых может стать кража персональных данных.

Настройте автоматическое резервное копирование данных

Хакеры прикладывают все усилия, чтобы найти лазейку в защите и доставить вредоносное программное обеспечение на устройство жертвы. Один из видов популярных среди хакеров вирусов — программа-вымогатель.

Она блокирует экран устройства и шифрует все данные на диске, требуя за ключи дешифрования выкуп. При этом оплата чаще всего не приводит к разблокировке устройства, а лишь стимулирует их распространять этот вирус дальше.

Украденные персональные данные уже не вернуть, но те пользователи, которые настроили автоматическое резервное копирование до атаки, смогут получить копию сохраненных данных.

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

• Павел Новожилов
• Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»
• специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных.

Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных.

Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

• компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
• объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
• форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г.

№ 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется.

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах.

Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать.

Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п.

Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

Конклюдентное согласие	Согласие в письменной форме	Иные формы согласия
+	Легко получить (за исключением случаев, когда нужно согласие в письменной форме)	При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства	Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
–	Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ	Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе	Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).

2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных.

   Например, это может быть письмо по электронной почте или SMS-сообщение.

3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться.

Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

• отсутствует большая часть необходимой документации;
• документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
• не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам.

Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных.

Так что этот вопрос лучше продумать заранее.

***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект1, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

_____________________________

1 С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы.

Нововведения в отношении защиты и обработки персональных данных

07.07.2021 15:29

Теперь не допускается получение согласия на распространение персональных данных «по умолчанию» и  в 2 раза увеличены штрафы. 

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным, внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

Что изменилось в обработке персональных данных?

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.    
• Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.  
• В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения?

• Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта. 
• Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить. 
• Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.
• В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:

• ФИО;
• дата рождения;
• адрес;
• телефон;
• электронный адрес;
• фотография;
• ссылка на персональный сайт;
• ссылка на профиль в социальных сетях.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

За что и на какие суммы штрафуют операторов персональных данных в 2021 году?

Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Нововведения:

• За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.  
• Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь  выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение. Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.  
• Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.

Основание Размер штрафа

Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.	Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб. Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб. Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка персональных данных без письменного согласия субъекта.	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб.; Для должностных лиц: от 40 000 до 100 000 руб.; Для ИП: от 100 000 до 300 000 руб.; Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке персональных данных, или сведениям по защите персональных данных.	Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту персональных данных информации по их обработке.	Для физлиц: предупреждение или штраф от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф от 20 000 до 30 000 руб.
Невыполнение требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении (если персональные данные неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф от 20 000 до 40 000 руб. При повторном нарушении Для граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности персональных данных, что привело к неправомерному или случайному доступу к персональным данным и стало причиной их уничтожения, изменения, блокирования, копирования.	Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных; несоблюдение требований по обезличиванию персональных данных.	Для должностных лиц: предупреждение или наложение административного штрафа от 6 000 до 12 000 руб.

Такое правонарушение, как обработка персональных данных без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юридическому лицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов?

Шаг 1. Если у вас на сайте есть какие-либо формы сбора персональных данных, то под каждой из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Добавить к фразе «Даю согласие на обработку своих персональных данных» ссылку на документ, в котором прописываются условия обработки персональных данных. Если Вы используете Cookie и аналогичные технологии, то об этом тоже нужно предупреждать.

Шаг 3. Подготовьте текст документа с условиями обработки персональных данных.

Шаг 4. Подготовьте «Политику в отношении обработки персональных данных» и разместите ее на сайте в свободном доступе. 

Компания «Юристы для турбизнеса «Байбородин и партнеры» готова предложить комплект необходимых каждой компании документов (более 40 шт) по защите персональных данных.

Шаг 5. Подайте уведомление об обработке персональных данных в Роскомнадзор. В соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки персональных данных. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки персональных данных. 

А в самом офисе?

Все тоже самое, дополнительно:

• внедрить комплект по защите персональных данных, сложить в папку и хранить на случай проверки;   
• разместить «Политику обработки персональных данных» на видном и доступном клиенту месте, например, в «Уголке потребителя»;  
• хранить физические носители персональных данных в строго отведенных местах с ограниченным доступом к ним;  
• в компьютере обеспечить безопасность и недоступность персональных данных для просмотра недоверенным лицам.

Когда уведомление Роскомнадзора не требуется?

Уведомлять Роскомнадзор не нужно, если персональные данные:

• относятся к субъектам, которых связывают с оператором трудовые отношения;  
• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;  
• являются общедоступными;  
• включают только ФИО субъектов персональных данных;  
• нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;  
• включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;    
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

Компания «Юристы для турбизнеса «Байбородин и партнеры» готова предложить комплект необходимых каждой компании документов (более 40 шт) по защите персональных данных.

1. СПИСОК ВСЕХ УСЛУГ КОМПАНИИ ДОСТУПЕН ПО ССЫЛКЕ: https://ukab.ru/uslugi
2. Задать любой вопрос или оформить заказ можно по электронной почте info@ukab.ru
3. Оставьте заявку на услугу и мы обязательно свяжемся с Вами! 
4. 

Как соблюсти все требования 152-ФЗ и не получить штраф | Блог VK Cloud Solutions

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Можно получить сразу два штрафа:

1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

• 100–500 рублей для физлиц
• 300–500 рублей для должностных лиц.
• 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.

Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.

По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

• 3 000–5 000 рублей для физлиц.
• 10 000–20 000 рублей для должностных лиц и ИП.
• 15 000–75 000 рублей для юрлиц.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы | Rusbase

Александр Оводов, основатель Ovodov Cybersecurityh, рассказывает, как будут регулировать использование персональных данных в 2021 году и что компаниям обязательно нужно учесть.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы Дарья Мызникова

С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.

С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?

Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:

• Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
• Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
• Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
• Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
• Склонение людей к противоправным действиям, пользуясь их слабостями.
• Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
• Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

По данным отчета Центрального банка, за первые шесть месяцев 2020 года было зафиксировано более 300 тысяч несанкционированных операций со средствами граждан, совершенных без их согласия. Их объем составил порядка 4 млрд рублей. Это на 39% больше того же периода 2019 года. 

Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн. 

Unsplash

О законодательстве и штрафах 

Основным документом, определяющим порядок ответственности и штрафов за административные нарушения, является КоАП — Кодекс об административных правонарушениях.

Последнее принятое изменение в КоАП ужесточило ответственность за нарушение требований по локализации ПДн: теперь серверы с данными российских пользователей должны находиться на территории России.

Персональные данные в 2021 году: как работать, чтобы не нарушить закон

В марте изменился 152-ФЗ «О персональных данных». Теперь появилось понятие данных, которые не только обрабатывают, но и распространяют. Поэтому бизнесу придется изменить некоторые процессы. Рассказываем, все ли так страшно  на самом деле.

Кто становится оператором персональных данных?

На самом деле в законе нет четких формулировок, что такое персональные данные. Но все сходятся во мнении, что если бизнес использует фамилию, имя, email пользователя, и по этой информации реально найти человека через поисковые системы, то это персональные данные. Поэтому практически все сайты с формой регистрации попадают под действие нового закона.

Что делать операторам персональных данных?

Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение.

Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого.

Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:

✔На сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.

✔Далее разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.

✔В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны.

Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.

✔Кроме этого, закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.

После этого каждая компания обязана направить в Роскомнадзор информацию, что она — оператором персональных данных. По закону это делают до того, как начался сбор данных. Для уведомления зайдите на сайт Роскомнадзора и заполните специальную форму. С 1 июля ведомство обещает сделать специальный электронный сервис для отправки уведомлений.

Роскомнадзор не уведомляют в нескольких случаях:

• Вы используете только фамилию, имя и отчество;
• Персональные данные нужны для оформления договора;
• Данные нужны для заключения трудовых отношений;
• Обработка данных выполняется без автоматизированных сервисов.

Почему закон поменялся?

Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки. 

Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.

Как изменится работа бизнеса?

Роскомнадзор намерен строго спрашивать с предпринимателей правила работы с персональными данными. На сайте ведомства есть план проверок на этот год. Увеличиваются и штрафы за нарушение работы. Например, ИП и ООО могут потерять от 20 000 до 150 000 рублей. Поэтому лучше выполнить все требования закона.

На самом деле все не так страшно. Просто надо понять, что теперь нужно не только согласие на обработку персональных данных, но и разрешение на распространение. Поэтому на сайте без разрешения нельзя опубликовать даже имя и фамилию сотрудника. И если человек в соцсетях написал телефон или email, то нельзя, как раньше, взять эту информацию для маркетинговых действий.

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.

Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.

1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.

Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021