Можно ли хранить данные клиентов на электронных носителях

Как бизнесу правильно хранить персональные данные клиентов?

На основании внесенных правок в закон о хранении, использовании «Персональных данных», у бизнесменов возникают вопросы.

Многие до сих пор не могут разобраться в том, как правильно хранить полученную информацию и не нарваться на штрафные санкции. Бизнесмены давно научились получать подтверждение от клиентов на сохранение данных.

Но как же их все-таки нужно правильно хранить, не нарушая установленные законы РФ?

Под закон о ПД попадают любые данные, касающиеся личной информации клиентов или сотрудников фирмы. Также нередко возникает вопрос, который касается общения с клиентами в мессенджерах, ведь многие не понимают, как в данном случае работает закон.

Персональные данные – что это, зачем они хранятся?

Согласно прописанным законам, определение понятия «Персональные данные» очень расплывчато. Оно подразумевает под собой совокупность личной информации, благодаря которой можно опознавать гражданина.

ПД можно считать отдельные категории или совокупность пунктов:

• Фамилия, имя, отчество человека.
• Дата, место рождения.
• Адрес проживания.
• Телефонный номер.
• Фотографии.
• Электронная почта.
• Семейное положение, наличие детей, родственников.
• Полученное образование, место работы.
• Уровень дохода.
• Любые ссылки на страницы в социальных сетях, аккаунты на сайтах.

Любое получение подобной информации значит, что ваш бизнес собирает сведенья о пользователях, клиентах. А это, в свою очередь, означает одно – их необходимо правильно хранить.

Как хранить персональные данные?

Согласно закону ФЗ-152, любые лица, имеющие доступ к какой-либо категории персональных сведений других граждан, не имеют права осуществлять распространение полученного третьим лицам. Распространение возможно лишь в ситуациях, если сам субъект дал на это согласия.

Чтобы обеспечить качественную защиту потребуется:

1. Хранить все собранные ПД в защищенном, надежном месте – обезопасить их от любых утечек информации или взлома.
2. Первичную базу сбора информации необходимо содержать на территории Российской Федерации.
3. Все сведенья разделяются на категории и, соответственно, степень их защищенности зависит от полученной категории.
4. Сохранять необходимо лишь выбранные данные, необходимые для дальнейшей работы. Всю ненужную информацию следует сразу же удалять, чтобы избежать наказания в виде штрафа.

Открывая бизнес по предложению услуг сотовой связи, становясь провайдером интернета или интернет-компанией, по действующим законам, придется хранить помимо ПД еще и копии переписки пользователей.

На какие категории разделяют персональные данные?

Согласно Постановлению правительства РФ №1119, все персональные данные гражданина можно разделить на три основные категории. По этим категориям в конечном итоге определяется и их уровень защиты:

1. Специальная категория – данные о личной, интимной жизни гражданина, его религиозные, политические и философские взгляды на жизнь. Также сюда относятся сведенья о гражданстве.
2. Биометрическая категория – снимки гражданина, его рост, вес, отпечатки пальцев. В общем, это физиологические и биологические сведенья про человека.
3. Общая категория – все персональные данные, которые гражданин самостоятельно предоставил в открытый доступ (к примеру, заполнение информации «о себе» в социальных сетях).
4. Другие категории – любые данные, не подходящие под три предыдущие категории.

По количеству субъектов, чьи данные хранятся одновременно, разделяют:

• Менее 100 000 граждан.
• Более 100 000 граждан.

Исходя из этой информации, можно определить какой уровень защиты требуется использовать.

Какие существуют угрозы для ПД?

Угрозами для ПД считаются любые ситуации, ведущие к возможной потере или раскрытию личной информации о пользователе. Среди актуальных выделяются:

• Сбои в работе, уязвимости для проникновения злоумышленников в операционной системе.
• Нарушение работы программного обеспечения, поддерживающего защиту данных.
• Человеческий фактор – оператор может заработаться и забыть выключить компьютер, случайно открыть доступ для посторонних лиц, недосмотреть за возникающей проблемой.

Уровни защиты персональных данных

При разделении защиты на уровни образуется четыре основных степени. Четвертая степень считается базовой защитой, для обеспечения безопасности которой требуется:

1. Обезопасить от посторонних помещение, в котором содержится вся информация – дверь должна постоянно быть закрытой, доступ только у доверенных лиц. Установленное видеонаблюдение, график дежурства, разработка системы контроля за входящими и выходящими.
2. Все носители, на которых содержится информация, должны быть спрятаны в сейфе и зашифрованы.
3. Составление перечня лиц, имеющих доступ к информации – постоянный контроль за их деятельностью.

Все последующие уровни защиты использую базовые принципы, но при этом добавляют новые способы защиты:

• На третьем – назначается ответственное за контроль лицо, которое будет отвечать за их сохранность.
• На втором – доступ к просмотру электронного журнала контроля имеют только уполномоченные лица.
• На первом – устанавливается сигнализация, происходит регистрация любых изменений, связанных с ПД.

Уровень подбирается исходя из количества охраняемой информации и ее категории.

Какое наказание следует за несоблюдением закона?

Во-первых, могут сильно пострадать ваши клиенты, чьи данные могут быть обнародованы, использоваться для шантажа или разжигания конфликтов. Самое безобидное, но в то же время надоедливое – это спам (звонки и смс-сообщения с рекламой).

Помимо клиентов организации пострадает и сама компания, ведь при несоблюдении установленных законов может последовать административная, уголовная или гражданская ответственность.  По такому делу назначается проверка, после вынесения вердикта у компании могут:

• Забрать все оборудование.
• Полная или частичная остановка деятельности фирмы.
• Наложение штрафов, удаление собранных данных.
• Также могут отозвать лицензию на сбор, обработку и хранение ПД.

Также, в случае, когда недовольный клиент подает иск, выполнение всех правил, может помочь выиграть разбирательство.

Сбор персональных данных через мессенджеры

Если ведение бизнеса и запрос на сбор ПД происходит с помощью различных месседжеров, то тут подключается третья сторона – операторы чата. По факту, все хранение данных происходит на сервере компании мессенджера, но ответственность все равно лежит на владельце бизнеса.

В таком случае важно проверить, как защищаются полученные данные и можно ли доверить их хранение чат-центру.

Как работать без третьей стороны при сборе ПД в мессенджерах?

Сделать подобное достаточно просто, для этого предпринимателю необходимо организовать on-premise (in-house) переподключение, чтобы вместо чат-центра данные переправлялись на личный сервер.

Такой вариант считается доступным и надежным в перенаправлении и единоличном хранении полученной информации от пользователей.

Но в то же время расходы на установление подобного оборудования, создания и настройку софта, требуются дополнительные инвестиции.

Пользоваться слугой стоит при условии большого количества получаемой информации -если масштабный бизнес напрямую зависит от клиентов, ведь они могут написать жалобу из-за утечки предоставленных данных.

Введенные изменения, ужесточившиеся правила в законе «О хранении персональных данных» заставило бизнесменов всерьез задуматься об улучшении безопасности. Для лучшего понимания, как сохранить информацию и не нарваться на санкции, требуется изучить все изменения в законе, разобраться в категориях данных и уровнях их защиты.

Источник: https://biznesovo.ru/biznes-i-zakon/kak-biznesu-pravilno-hranit-personalnye-dannye-klientov

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• образование, профессия;
• изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

• в паспорте или ином документе, удостоверяющем личность;
• трудовой книжке;
• документах о воинском учете, образовании, составе семьи;
• справке о доходах с предыдущего места работы;
• анкете, заполняемой при трудоустройстве;
• личной карточке работника (форма Т-2);
• свидетельствах о заключении брака, рождении ребенка;
• медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники информации (лица, у которых будут запрашиваться данные);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

1.  из документов (сведений), предъявляемых при заключении трудового договора;
2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

• заявления работников о согласии на обработку персональных данных;
• журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
• журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Как собрать базу клиентов и не попасть на штраф | Жиза — онлайн-журнал Эвотора о малом бизнесе

13.11поправка к статье

В начале июля в силу вступила поправка к статье 13.11 КоАП. Раньше хранение персональных данных контролировала прокуратура, и штрафы за нарушения выписывала мизерные — до 10 000₽ для организаций. Закон был, но мало кто его соблюдал; дешевле было заплатить штраф.

Поправка изменила ситуацию — соблюдение закона теперь контролирует Роскомнадзор, штрафы подняли до 300 000₽. Роскомнадзор обещает проводить проверки чаще и тщательнее.

Что называют персональными данными

Данные — это любая информация о человеке и его деятельности:— фамилия, имя, отчество;— дата рождения;— телефон;— адрес;— электронная почта;— ссылки на социальные сети;— место работы;

— должность.

https://www.youtube.com/watch?v=orhFq0PTb3A

Точного определения, что считать «Персональными данными», нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: персональные данные — это информация «в связках».

Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:— Ульяна, 8 (100) 000-00-01;— Иван, 10.01.

1990, визажист;

— Главный бухгалтер, ООО «Берёзка».

Всё это — информация в связках, ее Роскомнадзор посчитает персональными данными.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Саша ведет блог. Чтобы постоянные читатели не пропускали новые статьи, она добавила подписку: читатели вводят имя и имейл в форму и раз в неделю получают письма со статьями.

Саша хранит персональные данные читателей и должна отчитаться перед Роскомнадзором. Но этого можно избежать — достаточно убрать поле имени из формы.

Под действие закона не попадает информация, которую человек добровольно выложил в открытый доступ — она не считается персональной. Например, имена и телефоны из «желтых страниц», данные из социальных сетей. Исключением стал ресурс «»: Роскомнадзор запретил собирать и обрабатывать персональные данные со страниц этой социальной сети.

Колл-центр «Сильвер Телеком» ищет в социальных сетях информацию о потенциальных клиентах и собирает в базу. Сотрудники обзванивают людей по контактам из базы, рекламируют услуги и товары.

Это персональные данные — колл-центр обязан отчитаться перед Роскомнадзором. Чтобы этого избежать, ему нужно пользоваться всеми соцсетями, кроме Вконтакта.

Данные, которые используют для выполнения договора, считаются персональными. Чтобы не отчитываться перед Роскомнадзором, их нужно удалять сразу, как только закончили работы.персональными. Но, чтобы не попасть под закон, вам придется удалять их сразу, как только работы закончены.

ИП Роман Ромашков оформляет цветами офисы и витрины. Его заказчики в договоре указывают имя, должность и контакты. Телефон и почту из договора Роман использует, чтобы рассылать клиентам рекламу.

Роман использует данные для выполнения договора, но хранит их и после, поэтому должен отчитаться перед Роскомнадзором. Чтобы не попасть под закон, Роману придется удалять данные клиентов, как только выполнил заказ.

Закон запрещает собирать и хранить лишние персональные данные. Например: лавка хот-догов собирает телефоны и имена покупателей, чтобы разослать приглашения на вечеринку. Если кроме телефонов и имен они начнут собирать информацию о месте работы или должности каждого покупателя, то им грозит штраф.

Что делать

Если храните персональные данные, у вас два варианта: либо уклониться от закона, либо подготовиться к нему.

Чтобы уклониться, достаточно убрать с сайта форму с данными или оставить в ней только одно поле: имейл, если у вас рассылка; телефон, если вы собираете заявки. Тогда Роскомнадзор вас не тронет.

Владелец этого сайта не должен отчитываться перед Роскомнадзором

Чтобы подготовиться к закону, вам нужно пройти 5 шагов:

1. Подайте в Роскомнадзор заявление на регистрацию оператора персональных данных. Его нужно отправить и в электронном, и в письменном виде. Ничего сложного: заполните форму на сайте Роскомнадзора и получите заявление. Электронную версию отправит сайт, а бумажную вы распечатаете, заполните и отправите почтой в ближайшее отделение Роскомнадзора.
2. Подготовьте 34 документа и сохраните — когда придет проверка, покажите эти документы сотрудникам Роскомнадзора. Чтобы быстрее подготовить документы, мы использовали сервис Контура — там всё показывают и объясняют. Заполните поля, а в конце скачайте все документы.
3. Предупредите пользователей, что вы собираете их данные. Поставьте на сайте ссылку на соглашение и политику конфиденциальности. Разместите ссылку, где хотите: в подвале, в шапке или на первом шаге регистрации. Главное, чтобы клиент мог прочитать документы до того, как отправит вам свои данные.

   Владельцы
   Один чекбокс поможет избежать штрафов

4. Для организаций — назначьте ответственных. Отдельный пункт для организаций — выбрать ответственных. Техническим обслуживанием и защитой процесса обработки займется системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, займется юрист. HR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.

А что если не сделаю

Каждый месяц Роскомнадзор проверяет сайты нескольких организаций. Если на сайте нашли нарушения, владельцу грозит штраф.

План проверок Роскомнадзора

Роскомнадзор проводит проверки по плану, но иногда от него отступает. Например, если на вас пожаловались клиенты или конкуренты. Сотрудники Роскомнадзора придут и проверят заявление, 34 документа, уведомления на сайте и форму согласия.

Если что-то не так, вам придется заплатить штраф:— 5 000₽ для физических лиц;— 25 000₽ для сотрудников организации, если они не выполнили свои обязанности;— 100 000₽ для ИП;

— 300 000₽ для юридических лиц.

Штрафы суммируются. Например, если вы ИП и двое ваших сотрудников не выполнили свои обязанности, общий штраф может быть 55 000₽.

Нюансы

Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?

Составить соглашение и политику, подать уведомление — обязательно. А насчет переноса данных на российские сервера универсального ответа нет. Узнайте в разделе «Разъяснения» у Минкомсвязи. Не нашли ответа там — спросите у Роскомнадзора.

Я храню и обрабатываю cookie-файлы. Я оператор?

Роскомнадзор не давал пояснений относительно cookie. Некоторые владельцы сайтов перестраховались — добавили pop-up сообщение, где спрашивают согласия пользователей на хранение cookie. Как и в предыдущем пункте — спросите у Роскомнадзора, они подскажут, что делать в вашем случае.

Я собираю геоданные пользователей. Я оператор?

Геоданные относятся к персональным данным только в одном случае — когда они будут в «связке». Не приписывайте к ним имя или номер телефона, и закон обойдет вас стороной.

Персональные данные — это любая информация о человеке и его деятельности, собранная в «связки».

Не попадают под закон данные из открытого доступа и те, которые используют для выполнения договора.

Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.

Чтобы уклониться от закона, не собирайте данные клиентов или оставьте в форме только одно поле.

Чтобы подготовиться к закону, напишите заявление в Роскомнадзор, соберите 34 документа, добавьте на сайт предупреждение и чекбокс с подтверждением.

Редактор Саша Волкова

Источник: https://zhiza.evotor.ru/razbiraemsya-v-zakone-o-personalnyh-dannyh/

Можно ли хранить данные клиентов на электронных носителях

Сюда также можно отнести адрес личной электронной почты сотрудника, аккаунты (профиль, учетная запись) в социальных сетях, и др.

• Все полученные документы, содержащие персональные данные сканируются и направляются в электронное личное дело работника.
• К электронной базе данных имеют доступ: руководитель предприятия, его заместители, работники отдела кадров и бухгалтерии, а также работники информационно-технического отдела (программисты).
• Для каждого работника, имеющего доступ к электронной базе создается индивидуальный логин и пароль. При обработке данных (изменение, дополнение, удаление), программное обеспечение сохраняет автоматически данные лица, которое эти манипуляции совершило.
• Создается резервная копия базы данных, которая подлежит хранению на съемном носителе. База подлежит обновлению 1 и 15 числа каждого месяца.

Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».

Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.

При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.

В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.

ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке.

Чтобы не попасть под закон, Роману придется удалять данные клиентов, как только выполнил заказ.

Закон запрещает собирать и хранить лишние персональные данные. Например: лавка хот-догов собирает телефоны и имена покупателей, чтобы разослать приглашения на вечеринку.
Если кроме телефонов и имен они начнут собирать информацию о месте работы или должности каждого покупателя, то им грозит штраф.

Сохранность данных

Согласно разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона. Так, например, два дата-центра, с которыми мы плотно сотрудничаем, находятся в Чехии, подписавшей Конвенцию 1981 года, и принадлежат чешскому юрлицу.

И в нашем случае охрана информации будет осуществляться по чешским законам, обеспечивающим более надежную защиту от потенциальных рисков, включая, например, риски изъятия оборудования.

При этом передавать персональные данные можно без дополнительного согласия их обладателей.

Персонализируй это: что подразумевается под термином «персональные данные»

Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью).

Внимание

Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.

В российском законе о персональных данных сказано следующее:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» Это калька со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г.

Изображение: NewWay.biz

Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.

Источник: https://kok-stroy.ru/mozhno-li-hranit-dannye-klientov-na-elektronnyh-nositelyah

Защита персональных данных в облаке по 152-ФЗ | Блог Mail.Ru Cloud Solutions

Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3. Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный. Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Зарегистрироваться в Роскомнадзоре

После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет.

В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить.

Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

• Лично через подписание договора, например с сотрудником.
• На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников.

Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн.

Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки.

У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать.

Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности.

Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».

Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности.

Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи.

В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

Источник: https://mcs.mail.ru/blog/zashchita-personalnyh-dannyh-v-oblake-kak-sdelat-vse-po-zakonu