Когда работаете с персональными данными сотрудников, соблюдайте утвержденный порядок получения, передачи, хранения и уничтожения персданных. Специалисты Системы Главбух рассказали, как организовать обработку персональных данных.
Что является обработкой персональных данных
Термин «обработка персональных данных» закреплен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Он включает в себя различные операции с личной информацией граждан (например, сбор, хранение, систематизация, использование, передача другим лицам и т. д.), которые могут выполняться как физическими лицами, так и организациями.
Что можно отнести к персональным данным? Закон не дает четкого определения, но упоминает «любую информацию», относящуюся к человеку. Это позволяет заключить, что персональные данные включают Ф. И. О., дату рождения, адрес, телефон, электронную почту, профили в социальных сетях и прочее.
Правила обработки персональных данных
Операторы персональных данных обязаны соблюдать несколько ключевых правил. Например, обработка должна проводиться в соответствии с действующим законодательством. Перед началом обработки необходимо уведомить Роскомнадзор, хотя в некоторых случаях уведомление не требуется (например, при обработке в рамках трудовых отношений, если данные общедоступны или получены в результате договора).
Персональные данные обрабатываются только с согласия их субъекта, которое в ряде случаев должно быть оформлено письменно с указанием обязательных положений (Ф. И. О., реквизиты удостоверяющего личность документа, цель обработки, список данных и срок согласия). В иных ситуациях согласие может быть дано в иной форме (например, путем установки галочки на сайте при регистрации).
Операторы обязаны прекратить обработку и уничтожить данные при отзыве согласия, за исключением случаев, предусмотренных законом (например, при выполнении госорганами своих обязанностей или судебном разбирательстве).
Обработка персональных данных должна быть целенаправленной, и объем данных должен соответствовать этой цели. Обработка данных без определенной цели или избыточных данных запрещена. Операторам необходимо поддерживать актуальность данных и обновлять их при изменении.
Оператор может поручать обработку данных другим лицам, если это предусмотрено законом или договором. При работе с данными необходимо соблюдать конфиденциальность и не передавать их третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законом.
Также важно проводить обезличивание данных и обеспечивать их безопасность от несанкционированного доступа. Необходимо назначить ответственных за обработку данных сотрудников, разработать и утвердить локальные нормативные акты, ознакомить с ними сотрудников и регулярно проводить обучение, своевременно выявлять и устранять нарушения в процессе работы с данными.
Способы обработки персональных данных
Закон определяет два способа обработки данных: автоматизированный и неавтоматизированный. В любом случае основная задача оператора — обеспечить сохранность и конфиденциальность данных. В организациях для этого разрабатываются правила обработки, внутреннего контроля, список лиц, имеющих доступ к данным, и получение согласия на обработку данных.
Обработка персональных данных без использования средств автоматизации может включать ручную обработку документов, содержащих персональные данные, или использование бумажных носителей информации.
При автоматизированной обработке дополнительно выявляются потенциальные угрозы утечки и предотвращается неправомерное распространение данных.
Ответственность за нарушение правил обработки персональных данных
За нарушение правил обработки персональных данных предусмотрены административная и уголовная ответственность. Административная ответственность регламентирована ст. 13.11 КоАП РФ и предусматривает штрафы: для граждан — от 1500 до 30 000 руб., для должностных лиц — от 6000 до 500 000 руб., для ИП — от 10 000 до 1 млн руб., для организаций — от 30 000 до 1,5 млн руб.
Уголовная ответственность предусмотрена ст. 137 и ч. 1 ст. 272 УК РФ. Гражданская ответственность может возникнуть по иску субъекта данных при нарушении его прав.
