Выйти из системы

Сменить пользователя

152-ФЗ О персональных данных – пошаговая инструкция к выполнению требований

Недавно мы опубликовали памятку для субъектов критической информационной инфраструктуры (КИИ), где простым языком рассказали, что это и что делать, чтобы выполнить требования законодательства.

Сегодня в том же ключе поговорим о персональных данных. Расскажем всё – от решения собирать персональные данные до составления модели угроз и тонкостей.

Основы: что такое ПДн и что можно считать персональными данными

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Оператор ПДн — физическое лицо или организация (государственная или частная), которая организует обработку и обрабатывает ПДн, а также определяет цели обработки, состав данных и совершаемые с ними действия.

Субъект — человек, чьи персональные данные обрабатывает оператор ПДн.

Типы персональных данных
152-ФЗ делит ПДн на 4 категории:
· общедоступные;
· специальные;
· биометрические;
· иные.

Общедоступные ПДн — данные, доступ к которым предоставлен самим субъектом ПДн, либо по его просьбе. С 1 марта 2021 г, такие данные принято называть ПДн, разрешенные субъектом персональных данных для распространения.

Это ПДн, доступ к которым предоставлен:
• самим субъектом — владельцем ПДн;
• неограниченному кругу лиц;
• путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, в порядке, предусмотренном законом.

Специальные ПДн, а именно информация о:
• расе, национальности и религии;
• политических и философских взглядах;
• здоровье;
• подробностях личной жизни;
• судимостях.

Биометрические ПДн — информация о физиологических и биологических особенностях человека:
• отпечатки пальцев;
• генетическая информация;
• рисунок радужной оболочки глаз;
• образцы голоса;
• фотографии, если они используются для идентификации.

Иные — ПДн, которые не относятся ко всем предыдущим:
• фамилия, имя, отчество;
• паспортные данные;
• электронная почта или геолокация;
• информация о принадлежности к определенной социальной группе;
• стаж работы.

По этой теме по сей день поступает много вопросов. Итак, номер телефона и любая другая информация, в том числе MAC, EMA и прочая информация – это ПДн. Голос, который записывается оператором, рассматривается как ПДн. С учетом 572-ФЗ, как биометрические ПДн. К ПДн также относятся различные идентификаторы, равные как создаваемым оператором, так и установленные на уровне нормативно-правовых актов различных госорганов, то есть СНИЛС, ИНН, различные ID. Корпоративный электронный адрес, которым пользуются несколько сотрудников, не является персональными данными. Но личный корпоративный электронный адрес, который закреплен за конкретным сотрудником, – это ПДн.

— Вероника Нечаева, директор по информационной безопасности CORTEL

Итак, мы знаем, что такое ПДн. Вы — оператор и занимаетесь их обработкой. Первым этапом для соблюдения требований 152-ФЗ будет аудит. Необходимо проверить, что уже соблюдается, что необходимо обновить, а что — внедрить.

Этап 1: сбор персональных данных

До начала сбора ПДн необходимо удостовериться, что в компании уже есть организационно-распределительная документация.

Полный перечень всех документов, необходимых для выполнения требований регуляторов по персональным данным размещён здесь.

Самым объёмным и фундаментальным документом здесь будет политика оператора в отношении обработки персональных данных. Часто его называют политикой конфиденциальности. Пошаговый план по её составлению разместили тут.

Перед тем, как собирать ПДн, нужно определить цель сбора — проще говоря, ответ на вопрос «Зачем нам эти данные?». Здесь разместили базовый перечень целей обработки ПДн по категориям:

– Подбор персонала
– Кадровый учёт и управление персоналом
– Оплата труда
– Деловые поездки, обучение и аттестация
– Страхование, льготы и вовлеченность
– и ещё 7 категорий целей обработки ПДн

Здесь же указываем требуемый объём ПДн, порядок обработки и срок хранения.

Следующий вопрос, на который нам нужно ответить: «На каком основании мы будем их обрабатывать?». Чаще всего такое основание — это согласие на обработку ПДн. Оно может быть взято разными способами — в письменном виде с подписью субъекта ПДн, «галочкой» в чекбоксе или конклюдентно — например, «оставаясь на сайте, я соглашаюсь на использование cookies». Кстати, для сайтов — свои требования по выполнению 152-ФЗ. О них мы рассказывали тут.

Согласие не требуется и в тех случаях, когда:

  • обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных). К таким случаям относятся запросы уполномоченных гос. органов, передача сведений в ОСС и ПФР и некоторых других;
  • это предусмотрено коллективным договором, соглашением, а также покальными нормативными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке;
  • обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете. К примеру, медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации;
  • обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз, 6 м. 2 ст. 331 К РФ);
  • обработка ПДн специальных категорий проводится органами прокуратуры при условии, что такие данные были получены в установленных законодательством РФ случаях (п. 7.1 ч. 2 ст. 10 Закона о персональных данных);
  • проводится обработка ПДн близких родственников работника в объеме, предусмотренном личной карточкой. Т-2, а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др.;
  • обработка ПДн связана с выполнением работником своих трудовых обязанностей;
  • обработка ПДн проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений, персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;
  • обработка ПДн осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета;
  • если данные получены:
    из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
    от кадрового агентства, действующего от имени соискателя;
    из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Данные получили. Они должны должны размещаться в информационной системе, соответствующей требованиям к безопасности таких ИС. За соблюдением этих требований отвечает ответственный за обработку. Кто это, какие задачи выполняет и как назначается — рассказывали здесь.

Этап 2: определяем уровень защищенности ПДн. Реализуем защиту

Это показатель, который определяет, каким образом должны защищаться информационные системы, в которых обрабатываются персданные. Всё об определении уровня защищённости ПДн — тут.

На этом этапе «на руках» должны присутствовать:

  • Модель угроз безопасности ПДн
  • Техническое задание на систему защиты ПДн
  • Акт определения уровней защищённости
  • Протокол определения ущерба субъекту ПДн

Важно!
Для государственных информационных систем (ГИС) определяется класс защищённости. Об и до об этом — здесь.

Уровень и класс защищённости определили — время защищать. С этим вам помогут материалы:

Как подобрать нужный тип и класс сертифицированных СЗИ для информационной системы?

Как выбрать класс СКЗИ для защиты информационной системы?

Отличия 17 и 21 приказов ФСТЭК

После этого подаём уведомление в Роскомнадзор. О типичных ошибках в уведомлениях — здесь.

Задачи со звёздочкой

А теперь — о сложных процессах. О том, что изменилось в соответствии с поправками в закон 152-ФЗ «О персональных данных». Кстати, именно на эти процессы Роскомнадзор обращает внимание при проверках в первую очередь.

Трансграничная передача ПДн — шпаргалка здесь.

Передача ПДн третьим лицам — например, когда организация передаёт ПДн своих сотрудников в страховую компанию. Об отличиях соглашения о поручении на обработку ПДн от передачи ПДн рассказывали тут.

Внутренний контроль и аудит — постоянный мониторинг соблюдения требований по защите ПДн. Инструктаж по работе с инцидентами. Взаимодействие с Роскомнадзором. О том, как подать в РКН уведомление об инциденте — здесь.

Что, если правила не соблюдать?

Закон «О персональных данных» вышел ещё в 2006 году, однако, многие даже не задумывались о том, что обрабатывают персональные данные.

И тут в 2022 году вышел пакет нововведений в закон и кратное ужесточение штрафов. Обо всех нововведениях в этой сфере рассказывали тут. Об ответственности за несоблюдение требований 152-ФЗ на сегодня — тут.

А о том, как нарушителей находят сегодня в обход моратория на проверки — здесь и здесь.

Кстати, проверку на соответствие требованиям регуляторов, например, вашего сайта, можем провести и мы. Бесплатно. Заполните форму, и наши специалисты свяжутся с вами для проведения бесплатного аудита и консультации.