Не разбрасывайте по офису флешки с персональными данными сотрудников и клиентов, обновляйте политику конфиденциальности и пользуйтесь российскими серверами.
Примерно так резюмируют мои статьи о работе с персональными данными читатели. А знаете, я и не против. Если после прочтения материала человек запомнил 10-15% содержания, это замечательно, точнее, лучше, чем ничего.
Сегодня копилочку ваших знаний о работе с ПД пополнят еще несколько важных мыслей. Речь пойдет не о бездушных серверах и устройствах, а о людях – тех, кто должен работать с информацией.
Зачем обучать сотрудников работать с персональными данными
Согласно ФЗ «О персональных данных» оператор персональных данных обязан назначить ответственного за обработку персональных данных.
Некоторые руководители распределяют ответственность за обработку ПД на штат управленцев, дескать, ты собираешь флешки, ты переносишь таблицы из Google в Яндекс, а ты читаешь поправки к законам и отображаешь нововведения в политике конфиденциальности. Так делать нельзя, поскольку ответственный за обработку персональных данных может быть только один.
Узнав об этом, руководитель компании (особенно небольшой) находит наименее загруженного, на его взгляд, сотрудника. На хрупкие плечи работника ложится груз ответственности, скрываемый обнадеживающей фразой: «Погугли – делов на полчаса, ничего сложного».
Но, господа владельцы бизнесов, если бы работа с ПД была так проста, я не публиковала бы здесь серию объемных материалов, а штат юристов Legal Up не был бы загружен работой.
Так вот этот «наименее занятый» сотрудник (бухгалтер, HR, администратор, а в особо тяжелых случаях рядовой менеджер или консультант) начинает гуглить и понимает, что полчаса придется только приходить в чувства от осознания того, какой объем информации предстоит освоить и сколько нужно внедрить. Ведь ответственный за обработку ПД выполняет важные функции, в том числе:
контролирует соблюдение оператором и его работниками законодательства о ПД;
знает закон «О персональных данных»;
знает особенности применения закона в той сфере, в которой оператор ведет деятельность;
доводит до сведения работников оператора положения законодательства о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
знает порядок рассмотрения обращений субъектов ПД и порядок взаимодействия с контролирующим органом;
знает правила обращения с персональными данными и обучает им других сотрудников;
создает и доводит инструкции по обращению с материальными носителями персональных данных;
разрабатывает локальные нормативные акты (в том числе политику обработки персональных данных), актуализирует их.
И это не полный список, а лишь основное.
Кто может стать ответственным за работу компании с ПД
Функции ответственного за обработку персональных данных разрешено совмещать с другой должностью. Это значит, что наименее загруженный сотрудник действительно может взять на себя такой труд. При этом в его должностных инструкциях необходимо закрепить новые обязанности.
Если в компании все загружены донельзя или все наотрез отказываются брать на себя функции ответственного за работу с ПД, то можно привлечь в качестве ответственного за обработку ПД другое юридическое лицо: закон позволяет это делать.
То есть оператор персональных данных вправе назначить ответственным своего же работника либо заключить договор со сторонними специалистами и доверить контроль обработки ПД им.
Кто имеет право обрабатывать ПД
Такие полномочия есть не только у ответственного за обработку ПД. Ответственный всегда один, а обработку могут делать и другие работники (кадровики, бухгалтеры и т.д.).
Круг работников, обрабатывающих персональные данные, определяется приказом оператора ПД.
Вообще операторам нужно помнить, что:
доступ к персональным данным должен быть у небольшого количества сотрудников;
необходимо собирать только те сведения, которые действительно важны для достижения заявленных целей (подробнее об этом я говорила здесь, освежите в памяти).
Пример грубой ошибки в работе с ПД
Недавно мне попалась хорошая иллюстрация того, как незнание основ работы с ПД привело к штрафам.
Сотрудники Севастопольского регионального отделения Фонда социального страхования направили письмо законному представителю ребенка-инвалида. Это рядовое действие не вызвало бы резонанса, если бы на конверте не было указано то, о чем я сказала в предыдущем предложении. Да, они так и написали: законному представителю ребенка-инвалида. Сотрудники Фонда социального страхования распространили специальную категорию персональных данных, не получив на это письменного согласия. Итог: Фонд привлекли к административной ответственности (Четвертый кассационный суд дело № П16-280/2023).
В 2023 за подобные нарушения можно было получить штраф 30 000 рублей. В 2025 за аналогичную ошибку придется заплатить от 300 000 до 700 000 рублей (ч.2 ст. 13.11 КоАП РФ).
Чтобы в финансовой истории вашей компании не было печальных записей о штрафах за неправильную работу с ПД, нужно назначать и обучать ответственного и своевременно доводить до коллектива информацию обо всех нововведениях. Штрафы за недостаточную защиту персональных данных и утечки будут только расти. РКН не сжалится над вашей компанией, даже если в ней работает три человека, а ее годовой оборот составляет 1 млн рублей. В законе нет поблажек для малого бизнеса: даже микропредприятия должны иметь ответственного за обработку персональных данных и обучать правильной работе сотрудников, обрабатывающих ПД.
Разумеется, вы всегда можете обратиться к юристу по защите персональных данных для решения ситуативных задач и/или воспользоваться услугой сопровождения бизнеса: выгоднее прийти за помощью, чем платить штраф.
Комментарии (10)
PereslavlFoto
20.02.2025 19:31доступ к персональным данным должен быть у небольшого количества сотрудников;
Что делать, если целью предприятия является обработка персональных данных, то есть почти все сотрудники обязаны работать с персональными данными? Пример — газета.
необходимо собирать только те сведения,
которые действительно важны для достижения заявленных целейЧто делать, если целью предприятия является сбор наибольшего числа сведений о людях? Пример — газета.
Legal-UP Автор
20.02.2025 19:31Здравствуйте! Если целью предприятия является обработка, в том числе сбор, большого количества персональных данных, то вопросам безопасности при обработке персональных данных нужно уделять очень большое значение. Для начала назначить ответственного за обработку данных (сотрудник или организация (профессиональный ДПО), проанализировать процессы обработки данных: кто и как данные собирает, где они хранятся, в течение какого срока, как уничтожаются. Далее нужно оценить соответствие процессов обработки данных требованиям закона, изменить процессы, если они не соответствуют закону. Также необходимо определить основание для обработки данных. Есть ли оно? Если газета является СМИ, то это тоже нужно учесть. Затем на основании проведенного анализа необходимо разработать и утвердить документы, регламентирующие обработку данных. С указанными документами ознакомить сотрудников. Это не полный перечень мер, которые необходимо предпринять. Если нужна подробная консультация, можете написать в ЛС
Anvano
20.02.2025 19:31Я не видел еще ни одной компании, которая на 100% соблюдала бы в реальности эти законы про ПД.
Можно заходить и каждого первого штрафовать на право и налево, в 99.99% случаев найдётся за что. Вот только применяются они только когда это кому-то выгодно.
Это не законы, а какая-то профанация, ей богу. Крупные компании, банки, площадки типа "Авито" гребут все подряд персданные, биометрию и т.п. как не в себя, абсолютно не задумываясь нужны эти данные реально для того или иного бизнес процесса или нет.
syakimov
20.02.2025 19:31Примерно такая же профанация, как и во всём мире.
Вопрос исключительно в выполнении закона и контроле его выполнения, тогда и профанации не будет.
Требования самого закона примерно такие же, как и у подобных законов в других юрисдикциях.
Legal-UP Автор
20.02.2025 19:31Здравствуйте! Интернет-магазин - это оператор персональных данных. На сайте интернет-магазина должны быть размещен документ, определяющий политику обработки персональных данных (политика конфиденциальности), также должны быть размещены документы, являющиеся основанием для обработки данных (согласие на обработку данных, пользовательское соглашение, оферта). Данные пользователей необходимо хранить в течение установленных в вышеуказанных документах сроков. В случае обращения клиента с заявлением об удалении его персональных данных - данные нужно удалить в установленный законом срок, составить акт об уничтожении и подтвердить уничтожение выгрузкой из журнала событий, уведомить клиента об удалении данных. Если нужна более подробная консультация, напишите в ЛС
Lev3250
20.02.2025 19:31Тема важная и актуальная. Может кто знает, в какую сторону искать. Интернет магазин это оператор пд? Если в интернет магазин бращаюься с требованием удалить пд, какой порядок действия? Как идентифицировать того, кто обратился? Нужно ли это делать? Как правильно удалять? Видел в интернете, что надо собирать комиссию и составлять акт удаления пд. Но там больше про бумажные носители. А если обработка только на сайте? Если кто знает, буду очень благодарен за информацию.
tmxx
20.02.2025 19:31доступ к персональным данным должен быть у небольшого количества сотрудников
насколько я понял, в 152-ФЗ к ПД относятся ФИО + e-mail, например.
любопытно, как РКН представляет себе работу отделов закупок или продаж с этими данными
PereslavlFoto
Будьте добры, прокомментируйте, пожалуйста, нарушения в обработке ПД на следующем сайте. Там размещено множество имён, фамилий, адресов на конвертах, фотографий и прочих сведений, которые позволяют установить личность.
Давайте посмотрим на три примера.
https://goskatalog.ru/portal/#/collections?id=56327742
Это орден, в его описании приведены персональные данные.
https://goskatalog.ru/portal/#/collections?id=56117611
Это деревянное веретено, в его описании опять персональные данные.
https://goskatalog.ru/portal/#/collections?id=51129380
Это пулемётная лента, она не является архивным документом, а про описание боюсь даже говорить.
Примеры выбраны как типичные и характерные. Все эти сведения доступны на сайте Министерства культуры как открытые данные, опубликованные по свободной лицензии для неограниченного копирования, тиражирования, распространения и переработки.
Спасибо.
MountainGoat
Холопам нельзя. Гражданам можно.
Legal-UP Автор
Здравствуйте! Для того, чтобы прокомментировать корректность размещения данных на каком-либо сайте, нужно знать какие основания есть для размещения данных: возможно получены согласия на публикацию сведений или есть иные основания, предусмотренные законом. Информацией о наличии соответствующих оснований обладает владелец сайта, разместивший сведения. Я в данном случае такой информацией на владею и не могу давать комментарии.