Защита персональных данных что нужно знать организациям?

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных. Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.

Защита персональных данных в организациях: закон

Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей. И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите.

Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма. Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

Трудовым кодексом РФ – ст. 86-90;

Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. 18.1, 19, 22.1;

Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;

Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № 21 от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.

Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством (п.1 и п.2 ст. 13.11 КоАП РФ).

Где хранятся данные?

Большинство серверов крупнейших интернет-компаний находятся в Америке. «Яндекс» построил дата-центр в Рязанской области на территории девяти бывших цехов машиностроительного завода «Саста», до конца 2019 года там будет установлено около 100 тысяч серверов. Кроме России, у компании есть дата-центры в Нидерландах, США и Финляндии. У Mail.Ru Group в России пять дата-центров плюс аренда серверов за границей.

В связи с новым законом, по которому российское правительство обязует компании хранить данные российских пользователей только на территории страны, ожидается, что дата-центров в России станет больше. Однако пока зарубежные интернет-компании не комментируют их будущую работу в России, и в СМИ время от времени появляется информация о том, что власти ведут переговоры с Facebook, Google, Twitter и другими интернет-гигантами.

Где и как хранились данные пользователей до сих пор?

У компаний, работающих с персональными данными граждан, есть два варианта: самим создавать (или приобретать) дата-центры либо арендовать их на рынке.

Сегодня в России в этом сегменте действуют порядка 200 компаний, располагающих в общей сложности 30 тысячами металлических стоек: именно в стойках, на которых размещается оборудование для хранения информации, традиционно измеряется ёмкость рынка.

На конец 2013 года, по данным IDC, все коммерческие дата-центры в России насчитывали около 26 500 стоек. Одной из причин быстрого роста количества стоек стал обсуждаемый закон: еще до его вступления в силу ряд западных компаний заблаговременно арендовали мощности в России.

Некоторые эксперты оценивают потенциальный рост рынка в этом году в 15%. И это не предел, учитывая тот факт, что лишь 30% российских операторов персональных данных хранили до недавних пор информацию на российских серверах, а остальным 70% игроков теперь придется переводить базы в Россию. Такие подсчеты привел в интервью газете «Коммерсант» управляющий директор IXcellerate Дмитрий Фокин.

Что необходимо сделать, чтобы избежать штрафов:

Перечень требований как для юридических лиц и ИП, так и физ. лиц прописаны в 152-ФЗ. Необходимо, чтобы на вашем сайте были соблюдены следующие условия:

• Под каждой формой сбора данных на сайте необходимо разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с обязательной ссылкой на документы — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В форме обратного звонка Calltouch мы реализовали возможность добавить в виджет строчку «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с указанием ссылки на соглашение об обработке персональных данных.

Гиперссылка «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» в виджете обратного звонка будет стоять по умолчанию. В настройках обратного звонка необходимо только разместить ссылку на текст соглашения об обработке персональных данных.

Также в настройках обратного звонка мы разместили образец соглашения об обработке персональных данных. Ссылка на образец

Данный документ необходимо разместить на сайте в общем доступе. Ссылка на политику организации в отношении обработки персональных данных на сайте должна находится в постоянном доступе на сайте, например, в подвале.

Обязательная информация в документе (в соответствии ч. 4 ст. 9 ФЗ «О персональных данных»)

• наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
• все цели обработки персональных данных;
• перечень персональных данных, которые в целом обрабатывает организация, включая описание персональных данных сотрудников и кандидатов на вакантную должность;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Что относят к персональным данным (ПДн) в медицине?

К категории простых ПДн относят следующую информацию о пациентах и сотрудниках клиники:

• фамилия, имя, отчество;
• информация о дате и месте рождения;
• антропометрические показатели (рост, вес);
• фотографии;
• место жительства, контактные телефоны.

Когда речь идет о медицинском учреждении, к перечисленным пунктам добавляются персональные данные специальной категории. Это сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения. Эти специальные сведения объединяют термином «врачебная тайна».

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Вопросы правомерности той или иной деятельности — неотъемлемая часть работы юристов RTM Group
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты