Как работать с персональными данными клиентов и сотрудников

Что такое персональные данные

Читайте также:

Как работодателю стать оператором персональных данных

Персональные данные — это индивидуальная информация о человеке, которая может идентифицировать его личность. К ним относятся:

• имя и фамилия;
• дата рождения;
• адрес;
• телефон;
• паспортные данные;
• фотография;
• электронная почта;
• информация о покупках;
• история посещений сайтов;
• медицинские записи.

Бизнес получает персональные данные от своих сотрудников и клиентов, и вся эта информация конфиденциальна.

Кто такой оператор персональных данных

Оператор персональных данных — это тот, кто получает, обрабатывает и хранит данные.

К обработке, согласно закону, относится любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, обновление, изменение, извлечение, использование, распространение, уничтожение данных.

Поэтому любой предприниматель или компания, которые получают данные клиентов и сотрудников или ведут базу электронных адресов и телефонных номеров, — это операторы персональных данных.

Как определить уровень защищенности персональных данных

Еще до начала обработки оператор персональных данных должен подать уведомление об этом в Роскомнадзор (РКН). Но чтобы получить статус оператора и работать с данными без штрафов, понадобится доказать, что бизнес обеспечит их надежное хранение, то есть что у ИП или компании установлены все нужные программы и инструменты, благодаря которым не будет утечек.

Существует четыре уровня защищенности персональных данных. В зависимости от определенного типа угрозы и категории данных оператор должен определить, какой уровень безопасности нужен ему.

Самый слабый уровень защищенности — четвертый, когда оператор обрабатывает персональные данные менее чем 100 тысяч человек. С таким уровнем ему, как правило, достаточно:

• утвердить перечень лиц, у которых есть доступ к персональных данным;
• обеспечить безопасность помещений с базой с персональными данными;
• обеспечить сохранность носителей персональных данных, исключить их утрату и т. д.;
• использовать средства защиты информации, например межсетевые экраны, антивирус и пр.

Самый высокий класс защищенности — первый. Именно в соответствии с ним должны выстраивать свою политику безопасности операторы, которые обрабатывают персональные данные, затрагивающие:

• государственную тайну;
• вопросы национальной безопасности;
• вопросы обороны страны;
• правоохранительную деятельность.

С первым уровнем сталкивается далеко не каждый бизнес, но есть еще второй и третий уровни. Определить, какой из них у вас, можно с помощью онлайн-калькулятора на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Уровень защищенности данных нужно будет не только показать в уведомлении для РКН, но и постоянно поддерживать впоследствии.

Как защищать персональные данные

Многие думают, что защита персональных данных — это специальная программа на компьютерах в компании, которая работает в духе антивируса. На самом деле это, конечно, не так. Меры по защите данных нужно внедрять во все рабочие процессы, которые с ними связаны: все записывать, регламентировать, ставить технические фильтры. Вот несколько важных пунктов.

Политика обработки персональных данных

Создайте четкую политику в области обработки персональных данных, доступную всем сотрудникам и клиентам. Она должна описывать, какие данные компания собирает, как использует, хранит и защищает их.

Пример из политики обработки данных сайта Яковлевского городского округа

Открыть счет
для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Открыть счет бесплатно

Инструкции по работе с персональными данными

Для этого пункта:

• определите перечень сотрудников, которые получают доступ к персональным данным;
• регулярно проводите тренинги для сотрудников по работе с персональными данными, чтобы они понимали важность их защиты и знали, как действовать в разных ситуациях;
• подпишите с сотрудниками, работающими с персональными данными, соглашения о неразглашении информации.

Пример инструкции для сотрудников Российской государственной специализированной академии искусств

Согласия пользователей на обработку их персональных данных

Такое согласие должно быть встроено в самые разные инструменты, которыми пользуются сотрудники и клиенты компании: в страницы на сайте, почтовые рассылки, трудовые договоры и соглашения о сделках.

«Просто разместить текст согласия на сайте недостаточно. Нужно, чтобы пользователь выразил свое согласие, например поставил галочку в чек-боксе. Кроме того, тексты согласия на обработку персональных данных и политики обработки персональных данных должны быть доступны пользователю с любой страницы вашего сайта. То же самое касается и электронного взаимодействия с сотрудниками организации».

Мария Медведева

У «Гаранта» политика конфиденциальности — то есть обработки данных — встроена в подвал сайта и доступна с любой страницы

Информационная защита данных

Используйте пароли, двухфакторную аутентификацию и другие методы защиты доступа к системам, где хранятся персональные данные. Шифруйте данные как в процессе хранения, так и при их передаче.

Обеспечьте защиту от внешних угроз с помощью брандмауэров и антивирусного программного обеспечения. Регулярно обновляйте программное обеспечение и операционные системы, чтобы устранять уязвимости.

Используйте безопасные методы удаления данных, чтобы исключить возможность их восстановления. Регулярно анализируйте риски и уязвимости, чтобы своевременно устранять их.

Организационные меры защиты данных

Ограничьте доступ к персональным данным, дайте его только тем сотрудникам, которым он необходим для работы. Установите четкие роли и ответственность сотрудников, работающих с персональными данными.

Ведите документацию всех действий по обработке персональных данных, включая изменения, удаление и доступ. Проводите регулярные внутренние и внешние аудиты для проверки соблюдения правил безопасности.

Где указывать меры защиты данных

Все перечисленное (с указанием при необходимости конкретных программ) нужно прописать в изначальном уведомлении для Роскомнадзора:

Что еще важно помнить оператору персональных данных

Просить согласие человека на обработку персональных данных нужно не всегда: чаще всего одного взаимодействия с ним достаточно. Например, специалисту по кадрам достаточно один раз получить согласие на обработку данных при заключении трудового договора. Запрашивать его снова при заключении допсоглашения, например, не нужно.

Есть еще несколько случаев, когда оператору персональных данных не нужно согласие человека на их обработку:

• когда человек уже заключил договор с организацией (например, для доставки товара продавец попросит адрес — согласие не нужно);
• когда данные требует закон (например, для отправки электронного чека нужен адрес электронной почты или номер мобильного телефона — согласие на их предоставление просить не надо);
• когда данные нужны для обеспечения безопасности или общественных интересов (например, сбор паспортных данных посетителей футбольного матча).

Обрабатывайте только необходимые персональные данные, не собирайте сведения «на всякий случай».

Бухгалтерия для ИП и ООО

Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!

Узнать подробности