На сайт банка

За утечки персональных данных Роскомнадзор штрафует бизнес на десятки и сотни тысяч рублей. Между тем любой бизнес — оператор персональных данных своих сотрудников и клиентов, и его задача — защитить имеющиеся сведения от чужих глаз и ушей.

Что такое персональные данные

Персональные данные — это индивидуальная информация о человеке, которая может идентифицировать его личность. К ним относятся:

  • имя и фамилия;
  • дата рождения;
  • адрес;
  • телефон;
  • паспортные данные;
  • фотография;
  • электронная почта;
  • информация о покупках;
  • история посещений сайтов;
  • медицинские записи.

Бизнес получает персональные данные от своих сотрудников и клиентов, и вся эта информация конфиденциальна.

Кто такой оператор персональных данных

О персональных данных — Федеральный закон от 27.07.2006 г. № 152-ФЗ

Оператор персональных данных — это тот, кто получает, обрабатывает и хранит данные.

К обработке, согласно закону, относится любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, обновление, изменение, извлечение, использование, распространение, уничтожение данных.

Поэтому любой предприниматель или компания, которые получают данные клиентов и сотрудников или ведут базу электронных адресов и телефонных номеров, — это операторы персональных данных.

Как определить уровень защищенности персональных данных

Еще до начала обработки оператор персональных данных должен подать уведомление об этом в Роскомнадзор (РКН). Но чтобы получить статус оператора и работать с данными без штрафов, понадобится доказать, что бизнес обеспечит их надежное хранение, то есть что у ИП или компании установлены все нужные программы и инструменты, благодаря которым не будет утечек.

О требованиях к защите персональных данных — Постановление Правительства РФ от 01.11.2012 г. № 1119

Существует четыре уровня защищенности персональных данных. В зависимости от определенного типа угрозы и категории данных оператор должен определить, какой уровень безопасности нужен ему.

Самый слабый уровень защищенности — четвертый, когда оператор обрабатывает персональные данные менее чем 100 тысяч человек. С таким уровнем ему, как правило, достаточно:

  • утвердить перечень лиц, у которых есть доступ к персональных данным;
  • обеспечить безопасность помещений с базой с персональными данными;
  • обеспечить сохранность носителей персональных данных, исключить их утрату и т. д.;
  • использовать средства защиты информации, например межсетевые экраны, антивирус и пр.

Самый высокий класс защищенности — первый. Именно в соответствии с ним должны выстраивать свою политику безопасности операторы, которые обрабатывают персональные данные, затрагивающие:

  • государственную тайну;
  • вопросы национальной безопасности;
  • вопросы обороны страны;
  • правоохранительную деятельность.

С первым уровнем сталкивается далеко не каждый бизнес, но есть еще второй и третий уровни. Определить, какой из них у вас, можно с помощью онлайн-калькулятора на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Об уровнях защиты персональных данных — Приложение к Приказу ФСТЭК России от 18.02.2013 г. № 21

Уровень защищенности данных нужно будет не только показать в уведомлении для РКН, но и постоянно поддерживать впоследствии.

Как защищать персональные данные

Многие думают, что защита персональных данных — это специальная программа на компьютерах в компании, которая работает в духе антивируса. На самом деле это, конечно, не так. Меры по защите данных нужно внедрять во все рабочие процессы, которые с ними связаны: все записывать, регламентировать, ставить технические фильтры. Вот несколько важных пунктов.

Политика обработки персональных данных

Создайте четкую политику в области обработки персональных данных, доступную всем сотрудникам и клиентам. Она должна описывать, какие данные компания собирает, как использует, хранит и защищает их.

Образец политики обработки персональных данных можно скачать готовый, а можно создать специально для своего бизнеса с помощью специального конструктора — такой есть, например, у Tilda.

Пример из политики обработки данных сайта Яковлевского городского округа
Открыть счет
для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Инструкции по работе с персональными данными

Для этого пункта:

  • определите перечень сотрудников, которые получают доступ к персональным данным;
  • регулярно проводите тренинги для сотрудников по работе с персональными данными, чтобы они понимали важность их защиты и знали, как действовать в разных ситуациях;
  • подпишите с сотрудниками, работающими с персональными данными, соглашения о неразглашении информации.
Пример инструкции для сотрудников Российской государственной специализированной академии искусств

Согласия пользователей на обработку их персональных данных

Такое согласие должно быть встроено в самые разные инструменты, которыми пользуются сотрудники и клиенты компании: в страницы на сайте, почтовые рассылки, трудовые договоры и соглашения о сделках.

Например, согласие на обработку персональных данных и согласие на получение рекламно-информационной рассылки — это разные согласия. Если вы собираете такие данные, как адрес электронной почты, номер телефона, в форме обратной связи или после оформления и отправки заказа вносите пользователя в список, по которому отправляете рассылку, то пользователь должен дать на это отдельное согласие.

У согласия есть еще несколько важных нюансов.

«Просто разместить текст согласия на сайте недостаточно. Нужно, чтобы пользователь выразил свое согласие, например поставил галочку в чек-боксе. Кроме того, тексты согласия на обработку персональных данных и политики обработки персональных данных должны быть доступны пользователю с любой страницы вашего сайта. То же самое касается и электронного взаимодействия с сотрудниками организации».

Мария Медведева
У «Гаранта» политика конфиденциальности — то есть обработки данных — встроена в подвал сайта и доступна с любой страницы

Информационная защита данных

Используйте пароли, двухфакторную аутентификацию и другие методы защиты доступа к системам, где хранятся персональные данные. Шифруйте данные как в процессе хранения, так и при их передаче.

Обеспечьте защиту от внешних угроз с помощью брандмауэров и антивирусного программного обеспечения. Регулярно обновляйте программное обеспечение и операционные системы, чтобы устранять уязвимости.

Используйте безопасные методы удаления данных, чтобы исключить возможность их восстановления. Регулярно анализируйте риски и уязвимости, чтобы своевременно устранять их.

Организационные меры защиты данных

Ограничьте доступ к персональным данным, дайте его только тем сотрудникам, которым он необходим для работы. Установите четкие роли и ответственность сотрудников, работающих с персональными данными.

Ведите документацию всех действий по обработке персональных данных, включая изменения, удаление и доступ. Проводите регулярные внутренние и внешние аудиты для проверки соблюдения правил безопасности.

Где указывать меры защиты данных

Все перечисленное (с указанием при необходимости конкретных программ) нужно прописать в изначальном уведомлении для Роскомнадзора:

Что еще важно помнить оператору персональных данных

Просить согласие человека на обработку персональных данных нужно не всегда: чаще всего одного взаимодействия с ним достаточно. Например, специалисту по кадрам достаточно один раз получить согласие на обработку данных при заключении трудового договора. Запрашивать его снова при заключении допсоглашения, например, не нужно.

Есть еще несколько случаев, когда оператору персональных данных не нужно согласие человека на их обработку:

  • когда человек уже заключил договор с организацией (например, для доставки товара продавец попросит адрес — согласие не нужно);
  • когда данные требует закон (например, для отправки электронного чека нужен адрес электронной почты или номер мобильного телефона — согласие на их предоставление просить не надо);
  • когда данные нужны для обеспечения безопасности или общественных интересов (например, сбор паспортных данных посетителей футбольного матча).

Обрабатывайте только необходимые персональные данные, не собирайте сведения «на всякий случай».

Например, если цель обработки персональных данных — анализ посещаемости, пользовательской активности сайта, то СНИЛС или номер телефона с этой целью обрабатывать нельзя.

Бухгалтерия для ИП и ООО

Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!

Узнать подробности
Еще какие-то статьи
Законы Новые правила относительно криптовалюты в России: майнеры будут платить налоги, а за рекламу крипты оштрафуют
Новые правила относительно криптовалюты в России: майнеры будут платить налоги, а за рекламу крипты оштрафуют
Как работает первый в России закон о майнинге и о запрете рекламы криптовалют
20 ноября
13 мин
Советы Новые правила относительно криптовалюты в России: майнеры будут платить налоги, а за рекламу крипты оштрафуют
Новые правила относительно криптовалюты в России: майнеры будут платить налоги, а за рекламу крипты оштрафуют
Как работает первый в России закон о майнинге и о запрете рекламы криптовалют
20 ноября
13 мин
Подписаться в Телеграме
Перейти на канал
Подпишитесь на нас в Телеграме
Топчик
Тапочки по почте и девичья фамилия: как супруги делят бизнес при разводе
Советы

Тапочки по почте и девичья фамилия: как супруги делят бизнес при разводе

Если брачного договора нет, вступают в силу общие юридические правила
Меры поддержки бизнеса: подборка ко дню женского предпринимательства
Рынок

Меры поддержки бизнеса: подборка ко дню женского предпринимательства

Гранты, займы и кредиты в 2025 году
Как ИП открыть аптеку
Советы

Как ИП открыть аптеку

Объясняем, какие нужны разрешения и почему
Как принять на работу высококвалифицированного специалиста
Советы

Как принять на работу высококвалифицированного специалиста

Документы и требования, чтобы оформить ВКС правильно
Как бизнесу устанавливать цены на свои услуги
Советы

Как бизнесу устанавливать цены на свои услуги

Чтобы клиент не спрашивал: «Почему так дорого?»
Легализация майнинга, реестр для блогеров, комиссия за СБП, электронный воинский учет и другое
Дайджест

Легализация майнинга, реестр для блогеров, комиссия за СБП, электронный воинский учет и другое

Тапочки по почте и девичья фамилия: как супруги делят бизнес при разводе
Советы

Тапочки по почте и девичья фамилия: как супруги делят бизнес при разводе

Если брачного договора нет, вступают в силу общие юридические правила
И такое бывает

Арендодатель не дает съехать из-за ремонта

Арендодатель потребовал у съемщика девятьсот тысяч рублей за просрочку аренды. По документам съемщик не съехал, а продолжал снимать помещение и не платил, вот и накопилась просрочка. Причина просрочки — в ремонте: арендодатель не отпускал съемщика, пока тот не сделает ремонт.
10 июля 2018
37356
7

Как ничего не пропустить

Подпишитесь
в соцсетях

Публикуем ссылку на статью,
как только она выходит. Отдельно даём знать о важных изменениях в законах.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.

Подписываясь, вы соглашаетесь с политикой конфиденциальности.

А если не хотите подписываться почтой и дружить в соцсетях —
ну что ж!
Вы можете набирать наш адрес руками в браузере, как в двухтысячном.