На сайт банка

За утечки персональных данных Роскомнадзор штрафует бизнес на десятки и сотни тысяч рублей. Между тем любой бизнес — оператор персональных данных своих сотрудников и клиентов, и его задача — защитить имеющиеся сведения от чужих глаз и ушей.

Что такое персональные данные

Персональные данные — это индивидуальная информация о человеке, которая может идентифицировать его личность. К ним относятся:

  • имя и фамилия;
  • дата рождения;
  • адрес;
  • телефон;
  • паспортные данные;
  • фотография;
  • электронная почта;
  • информация о покупках;
  • история посещений сайтов;
  • медицинские записи.

Бизнес получает персональные данные от своих сотрудников и клиентов, и вся эта информация конфиденциальна.

Кто такой оператор персональных данных

О персональных данных — Федеральный закон от 27.07.2006 г. № 152-ФЗ

Оператор персональных данных — это тот, кто получает, обрабатывает и хранит данные.

К обработке, согласно закону, относится любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, обновление, изменение, извлечение, использование, распространение, уничтожение данных.

Поэтому любой предприниматель или компания, которые получают данные клиентов и сотрудников или ведут базу электронных адресов и телефонных номеров, — это операторы персональных данных.

Как определить уровень защищенности персональных данных

Еще до начала обработки оператор персональных данных должен подать уведомление об этом в Роскомнадзор (РКН). Но чтобы получить статус оператора и работать с данными без штрафов, понадобится доказать, что бизнес обеспечит их надежное хранение, то есть что у ИП или компании установлены все нужные программы и инструменты, благодаря которым не будет утечек.

О требованиях к защите персональных данных — Постановление Правительства РФ от 01.11.2012 г. № 1119

Существует четыре уровня защищенности персональных данных. В зависимости от определенного типа угрозы и категории данных оператор должен определить, какой уровень безопасности нужен ему.

Самый слабый уровень защищенности — четвертый, когда оператор обрабатывает персональные данные менее чем 100 тысяч человек. С таким уровнем ему, как правило, достаточно:

  • утвердить перечень лиц, у которых есть доступ к персональных данным;
  • обеспечить безопасность помещений с базой с персональными данными;
  • обеспечить сохранность носителей персональных данных, исключить их утрату и т. д.;
  • использовать средства защиты информации, например межсетевые экраны, антивирус и пр.

Самый высокий класс защищенности — первый. Именно в соответствии с ним должны выстраивать свою политику безопасности операторы, которые обрабатывают персональные данные, затрагивающие:

  • государственную тайну;
  • вопросы национальной безопасности;
  • вопросы обороны страны;
  • правоохранительную деятельность.

С первым уровнем сталкивается далеко не каждый бизнес, но есть еще второй и третий уровни. Определить, какой из них у вас, можно с помощью онлайн-калькулятора на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Об уровнях защиты персональных данных — Приложение к Приказу ФСТЭК России от 18.02.2013 г. № 21

Уровень защищенности данных нужно будет не только показать в уведомлении для РКН, но и постоянно поддерживать впоследствии.

Как защищать персональные данные

Многие думают, что защита персональных данных — это специальная программа на компьютерах в компании, которая работает в духе антивируса. На самом деле это, конечно, не так. Меры по защите данных нужно внедрять во все рабочие процессы, которые с ними связаны: все записывать, регламентировать, ставить технические фильтры. Вот несколько важных пунктов.

Политика обработки персональных данных

Создайте четкую политику в области обработки персональных данных, доступную всем сотрудникам и клиентам. Она должна описывать, какие данные компания собирает, как использует, хранит и защищает их.

Образец политики обработки персональных данных можно скачать готовый, а можно создать специально для своего бизнеса с помощью специального конструктора — такой есть, например, у Tilda.

Пример из политики обработки данных сайта Яковлевского городского округа
Открыть счет
для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Инструкции по работе с персональными данными

Для этого пункта:

  • определите перечень сотрудников, которые получают доступ к персональным данным;
  • регулярно проводите тренинги для сотрудников по работе с персональными данными, чтобы они понимали важность их защиты и знали, как действовать в разных ситуациях;
  • подпишите с сотрудниками, работающими с персональными данными, соглашения о неразглашении информации.
Пример инструкции для сотрудников Российской государственной специализированной академии искусств

Согласия пользователей на обработку их персональных данных

Такое согласие должно быть встроено в самые разные инструменты, которыми пользуются сотрудники и клиенты компании: в страницы на сайте, почтовые рассылки, трудовые договоры и соглашения о сделках.

Например, согласие на обработку персональных данных и согласие на получение рекламно-информационной рассылки — это разные согласия. Если вы собираете такие данные, как адрес электронной почты, номер телефона, в форме обратной связи или после оформления и отправки заказа вносите пользователя в список, по которому отправляете рассылку, то пользователь должен дать на это отдельное согласие.

У согласия есть еще несколько важных нюансов.

«Просто разместить текст согласия на сайте недостаточно. Нужно, чтобы пользователь выразил свое согласие, например поставил галочку в чек-боксе. Кроме того, тексты согласия на обработку персональных данных и политики обработки персональных данных должны быть доступны пользователю с любой страницы вашего сайта. То же самое касается и электронного взаимодействия с сотрудниками организации».

Мария Медведева
У «Гаранта» политика конфиденциальности — то есть обработки данных — встроена в подвал сайта и доступна с любой страницы

Информационная защита данных

Используйте пароли, двухфакторную аутентификацию и другие методы защиты доступа к системам, где хранятся персональные данные. Шифруйте данные как в процессе хранения, так и при их передаче.

Обеспечьте защиту от внешних угроз с помощью брандмауэров и антивирусного программного обеспечения. Регулярно обновляйте программное обеспечение и операционные системы, чтобы устранять уязвимости.

Используйте безопасные методы удаления данных, чтобы исключить возможность их восстановления. Регулярно анализируйте риски и уязвимости, чтобы своевременно устранять их.

Организационные меры защиты данных

Ограничьте доступ к персональным данным, дайте его только тем сотрудникам, которым он необходим для работы. Установите четкие роли и ответственность сотрудников, работающих с персональными данными.

Ведите документацию всех действий по обработке персональных данных, включая изменения, удаление и доступ. Проводите регулярные внутренние и внешние аудиты для проверки соблюдения правил безопасности.

Где указывать меры защиты данных

Все перечисленное (с указанием при необходимости конкретных программ) нужно прописать в изначальном уведомлении для Роскомнадзора:

Что еще важно помнить оператору персональных данных

Просить согласие человека на обработку персональных данных нужно не всегда: чаще всего одного взаимодействия с ним достаточно. Например, специалисту по кадрам достаточно один раз получить согласие на обработку данных при заключении трудового договора. Запрашивать его снова при заключении допсоглашения, например, не нужно.

Есть еще несколько случаев, когда оператору персональных данных не нужно согласие человека на их обработку:

  • когда человек уже заключил договор с организацией (например, для доставки товара продавец попросит адрес — согласие не нужно);
  • когда данные требует закон (например, для отправки электронного чека нужен адрес электронной почты или номер мобильного телефона — согласие на их предоставление просить не надо);
  • когда данные нужны для обеспечения безопасности или общественных интересов (например, сбор паспортных данных посетителей футбольного матча).

Обрабатывайте только необходимые персональные данные, не собирайте сведения «на всякий случай».

Например, если цель обработки персональных данных — анализ посещаемости, пользовательской активности сайта, то СНИЛС или номер телефона с этой целью обрабатывать нельзя.

Бухгалтерия для ИП и ООО

Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!

Узнать подробности
Еще какие-то статьи
Законы Таксопарки обяжут заключать с водителями трудовые договоры
Таксопарки обяжут заключать с водителями трудовые договоры
7 октября
11 мин
Советы Что можно узнать по ИНН бизнеса
Что можно узнать по ИНН бизнеса
Проверяем контрагентов и разбираемся, не персональные ли это данные
30 сентября
2 мин
Подписаться в Телеграме
Перейти на канал
Подпишитесь на нас в Телеграме
Топчик
Счет-фактура, размен денег, маркировка, ОСАГО, льготы по налогам
Дайджест

Счет-фактура, размен денег, маркировка, ОСАГО, льготы по налогам

Что можно узнать по ИНН бизнеса
Советы

Что можно узнать по ИНН бизнеса

Проверяем контрагентов и разбираемся, не персональные ли это данные
Как малому бизнесу проводить маркетинговые исследования
Советы

Как малому бизнесу проводить маркетинговые исследования

И лучше узнавать клиентов и конкурентов
Эмодзи в деловой переписке — что думают суды?
Советы

Эмодзи в деловой переписке — что думают суды?

Почему эмодзи надо использовать с осторожностью
Какую ответственность понесет компания за ДТП с участием своего сотрудника?
Советы

Какую ответственность понесет компания за ДТП с участием своего сотрудника?

Как работать с персональными данными клиентов и сотрудников
Советы

Как работать с персональными данными клиентов и сотрудников

Разбираемся с точки зрения закона
Счет-фактура, размен денег, маркировка, ОСАГО, льготы по налогам
Дайджест

Счет-фактура, размен денег, маркировка, ОСАГО, льготы по налогам

Актуальное

Когда сотрудникам нужен медосмотр

Понятно, что медосмотр проходят все, кто работает с людьми или едой. И, казалось бы, совсем неожиданно, что он нужен тем, кто печатает на компьютере, но это так.
23 ноября 2018
20228
3
Свежак

Кофе, косметика, нижнее белье: как бизнес зарабатывает на подписке

Кофейные зерна, коробки продуктов с рецептами, игрушки, дизайнерское нижнее белье, виниловые пластинки
8 октября
33
0

Как ничего не пропустить

Подпишитесь
в соцсетях

Публикуем ссылку на статью,
как только она выходит. Отдельно даём знать о важных изменениях в законах.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка.

Подписываясь, вы соглашаетесь с политикой конфиденциальности.

А если не хотите подписываться почтой и дружить в соцсетях —
ну что ж!
Вы можете набирать наш адрес руками в браузере, как в двухтысячном.