Издание для предпринимателей
Пишем о важном, разбираемся с ежедневными задачами предпринимателей, исследуем законы, транслируем опыт.
Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.
Подписываясь, вы соглашаетесь с политикой конфиденциальности.
Как работать с персональными данными клиентов и сотрудников
За утечки персональных данных Роскомнадзор штрафует бизнес на десятки и сотни тысяч рублей. Между тем любой бизнес — оператор персональных данных своих сотрудников и клиентов, и его задача — защитить имеющиеся сведения от чужих глаз и ушей.
Что такое персональные данные
Читайте также:
Как работодателю стать оператором персональных данных
Персональные данные — это индивидуальная информация о человеке, которая может идентифицировать его личность. К ним относятся:
Бизнес получает персональные данные от своих сотрудников и клиентов, и вся эта информация конфиденциальна.
Кто такой оператор персональных данных
О персональных данных — Федеральный законот 27.07.2006 г. № 152-ФЗ
Оператор персональных данных — это тот, кто получает, обрабатывает и хранит данные.
К обработке, согласно закону, относится любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, обновление, изменение, извлечение, использование, распространение, уничтожение данных.
Поэтому любой предприниматель или компания, которые получают данные клиентов и сотрудников или ведут базу электронных адресов и телефонных номеров, — это операторы персональных данных.
Как определить уровень защищенности персональных данных
Еще до начала обработки оператор персональных данных должен подать уведомление об этом в Роскомнадзор (РКН). Но чтобы получить статус оператора и работать с данными без штрафов, понадобится доказать, что бизнес обеспечит их надежное хранение, то есть что у ИП или компании установлены все нужные программы и инструменты, благодаря которым не будет утечек.
О требованиях к защите персональных данных — Постановление ПравительстваРФ от 01.11.2012 г. № 1119
Существует четыре уровня защищенности персональных данных. В зависимости от определенного типа угрозы и категории данных оператор должен определить, какой уровень безопасности нужен ему.
Самый слабый уровень защищенности — четвертый, когда оператор обрабатывает персональные данные менее чем 100 тысяч человек. С таким уровнем ему, как правило, достаточно:
Самый высокий класс защищенности — первый. Именно в соответствии с ним должны выстраивать свою политику безопасности операторы, которые обрабатывают персональные данные, затрагивающие:
С первым уровнем сталкивается далеко не каждый бизнес, но есть еще второй и третий уровни. Определить, какой из них у вас, можно с помощью онлайн-калькулятора на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Об уровнях защиты персональных данных — Приложение к Приказу ФСТЭК Россииот 18.02.2013 г. № 21
Уровень защищенности данных нужно будет не только показать в уведомлении для РКН, но и постоянно поддерживать впоследствии.
Как защищать персональные данные
Многие думают, что защита персональных данных — это специальная программа на компьютерах в компании, которая работает в духе антивируса. На самом деле это, конечно, не так. Меры по защите данных нужно внедрять во все рабочие процессы, которые с ними связаны: все записывать, регламентировать, ставить технические фильтры. Вот несколько важных пунктов.
Политика обработки персональных данных
Создайте четкую политику в области обработки персональных данных, доступную всем сотрудникам и клиентам. Она должна описывать, какие данные компания собирает, как использует, хранит и защищает их.
Образец политики обработки персональных данных можно скачать готовый, а можно создать специально для своего бизнеса с помощью специального конструктора — такой есть, например, у Tilda.
для бизнеса в Модульбанке
Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов
Инструкции по работе с персональными данными
Для этого пункта:
Согласия пользователей на обработку их персональных данных
Ст. 6 закона № 152-ФЗ
Такое согласие должно быть встроено в самые разные инструменты, которыми пользуются сотрудники и клиенты компании: в страницы на сайте, почтовые рассылки, трудовые договоры и соглашения о сделках.
Например, согласие на обработку персональных данных и согласие на получение рекламно-информационной рассылки — это разные согласия. Если вы собираете такие данные, как адрес электронной почты, номер телефона, в форме обратной связи или после оформления и отправки заказа вносите пользователя в список, по которому отправляете рассылку, то пользователь должен дать на это отдельное согласие.
У согласия есть еще несколько важных нюансов.
«Просто разместить текст согласия на сайте недостаточно. Нужно, чтобы пользователь выразил свое согласие, например поставил галочку в чек-боксе. Кроме того, тексты согласия на обработку персональных данных и политики обработки персональных данных должны быть доступны пользователю с любой страницы вашего сайта. То же самое касается и электронного взаимодействия с сотрудниками организации».
Мария МедведеваИнформационная защита данных
Используйте пароли, двухфакторную аутентификацию и другие методы защиты доступа к системам, где хранятся персональные данные. Шифруйте данные как в процессе хранения, так и при их передаче.
Обеспечьте защиту от внешних угроз с помощью брандмауэров и антивирусного программного обеспечения. Регулярно обновляйте программное обеспечение и операционные системы, чтобы устранять уязвимости.
Используйте безопасные методы удаления данных, чтобы исключить возможность их восстановления. Регулярно анализируйте риски и уязвимости, чтобы своевременно устранять их.
Организационные меры защиты данных
Ограничьте доступ к персональным данным, дайте его только тем сотрудникам, которым он необходим для работы. Установите четкие роли и ответственность сотрудников, работающих с персональными данными.
Ведите документацию всех действий по обработке персональных данных, включая изменения, удаление и доступ. Проводите регулярные внутренние и внешние аудиты для проверки соблюдения правил безопасности.
Где указывать меры защиты данных
Все перечисленное (с указанием при необходимости конкретных программ) нужно прописать в изначальном уведомлении для Роскомнадзора:
Что еще важно помнить оператору персональных данных
Просить согласие человека на обработку персональных данных нужно не всегда: чаще всего одного взаимодействия с ним достаточно. Например, специалисту по кадрам достаточно один раз получить согласие на обработку данных при заключении трудового договора. Запрашивать его снова при заключении допсоглашения, например, не нужно.
Есть еще несколько случаев, когда оператору персональных данных не нужно согласие человека на их обработку:
Обрабатывайте только необходимые персональные данные, не собирайте сведения «на всякий случай».
Например, если цель обработки персональных данных — анализ посещаемости, пользовательской активности сайта, то СНИЛС или номер телефона с этой целью обрабатывать нельзя.
Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!