Как работать с персональными данными клиентов и сотрудников

Что такое персональные данные

Читайте также:

Как работодателю стать оператором персональных данных

Персональные данные — это индивидуальная информация о человеке, которая может идентифицировать его личность. К ним относятся:

• фамилия, имя и отчество;
• адрес места жительства и места регистрации;
• номер телефона;
• электронная почта;
• семейное положение, родственные связи;
• медицинские записи;
• сведения о зарплате и другие сведения, которые помогут идентифицировать человека

Бизнес получает персональные данные от своих сотрудников и клиентов, и вся эта информация конфиденциальна.

Кто такой оператор персональных данных

Оператор персональных данных — это тот, кто получает, обрабатывает и хранит данные.

К обработке, согласно закону, относится любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, обновление, изменение, извлечение, использование, распространение, уничтожение данных.

Поэтому любой предприниматель или компания, которые получают данные клиентов и сотрудников или ведут базу электронных адресов и телефонных номеров, — это операторы персональных данных.

Как определить уровень защищенности персональных данных

Читать в «Деле»

Как подать уведомление об обработке персональных данных в 2025 году

Даем пошаговую инструкцию

Еще до начала обработки оператор персональных данных должен подать уведомление об этом в Роскомнадзор (РКН). Но чтобы получить статус оператора и работать с данными без штрафов, понадобится доказать, что бизнес обеспечит их надежное хранение, то есть что у ИП или компании установлены все нужные программы и инструменты, благодаря которым не будет утечек.

Существует четыре уровня защищенности персональных данных. В зависимости от определенного типа угрозы и категории данных оператор должен определить, какой уровень безопасности нужен ему.

Самый слабый уровень защищенности — четвертый, когда оператор обрабатывает персональные данные менее чем 100 тысяч человек. С таким уровнем ему, как правило, достаточно:

• утвердить перечень лиц, у которых есть доступ к персональных данным;
• обеспечить безопасность помещений с базой с персональными данными;
• обеспечить сохранность носителей персональных данных, исключить их утрату и т. д.;
• использовать средства защиты информации, например межсетевые экраны, антивирус и пр.

Самый высокий класс защищенности — первый. Именно в соответствии с ним должны выстраивать свою политику безопасности операторы, которые обрабатывают персональные данные, затрагивающие:

• государственную тайну;
• вопросы национальной безопасности;
• вопросы обороны страны;
• правоохранительную деятельность.

С первым уровнем сталкивается далеко не каждый бизнес, но есть еще второй и третий уровни. Определить, какой из них у вас, можно с помощью онлайн-калькулятора на сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Уровень защищенности данных нужно будет не только показать в уведомлении для РКН, но и постоянно поддерживать впоследствии.

Документы по защите персональных данных

Каждый оператор персональных данных должен разработать документы для защиты персональных данных. Вот некоторых из них.

Положение об обработке и защите персональных данных

Положение — это обязательный документ, который должен быть в каждой компании. В нем описывается порядок работы с данными, перечень сотрудников, которые имеют к ним доступ, правила хранения личных дел и других кадровых документов, а также способы защиты электронных документов.

Политика обработки персональных данных

Создайте четкую политику в области обработки персональных данных, доступную всем сотрудникам и клиентам. Она должна описывать, какие данные компания собирает, как использует, хранит и защищает их. Политика — необязательный документ. Обычно она нужна компаниям и ИП, когда у них есть интернет-сайт, где пользователи регистрируются и оставляют свои данные.

Пример из политики обработки данных сайта Яковлевского городского округа

Открыть счет
для бизнеса в Модульбанке

Бесплатный тариф, защита от блокировок, вывод прибыли на личную карту без ограничений и специальные условия для маркетплейсов

Открыть счет бесплатно

Инструкции по работе с персональными данными

Для этого пункта:

• определите перечень сотрудников, которые получают доступ к персональным данным;
• регулярно проводите тренинги для сотрудников по работе с персональными данными, чтобы они понимали важность их защиты и знали, как действовать в разных ситуациях;
• подпишите с сотрудниками, работающими с персональными данными, соглашения о неразглашении информации.

Пример инструкции для сотрудников Российской государственной специализированной академии искусств

Согласия пользователей на обработку их персональных данных

Такое согласие должно быть встроено в самые разные инструменты, которыми пользуются сотрудники и клиенты компании: в страницы на сайте, почтовые рассылки, трудовые договоры и соглашения о сделках.

«Просто разместить текст согласия на сайте недостаточно. Нужно, чтобы пользователь выразил свое согласие, например поставил галочку в чек-боксе. Кроме того, тексты согласия на обработку персональных данных и политики обработки персональных данных должны быть доступны пользователю с любой страницы вашего сайта. То же самое касается и электронного взаимодействия с сотрудниками организации».

Мария Медведева

У «Гаранта» политика конфиденциальности — то есть обработки данных — встроена в подвал сайта и доступна с любой страницы

Информационная защита данных

Используйте пароли, двухфакторную аутентификацию и другие методы защиты доступа к системам, где хранятся персональные данные. Шифруйте данные как в процессе хранения, так и при их передаче.

Обеспечьте защиту от внешних угроз с помощью брандмауэров и антивирусного программного обеспечения. Регулярно обновляйте программное обеспечение и операционные системы, чтобы устранять уязвимости.

Используйте безопасные методы удаления данных, чтобы исключить возможность их восстановления. Регулярно анализируйте риски и уязвимости, чтобы своевременно устранять их.

Организационные меры защиты данных

Ограничьте доступ к персональным данным, дайте его только тем сотрудникам, которым он необходим для работы. Установите четкие роли и ответственность сотрудников, работающих с персональными данными.

Ведите документацию всех действий по обработке персональных данных, включая изменения, удаление и доступ. Проводите регулярные внутренние и внешние аудиты для проверки соблюдения правил безопасности.

Где указывать меры защиты данных

Все перечисленное (с указанием при необходимости конкретных программ) нужно прописать в изначальном уведомлении для Роскомнадзора:

Что еще важно помнить оператору персональных данных

Просить согласие человека на обработку персональных данных нужно не всегда: чаще всего одного взаимодействия с ним достаточно. Есть несколько случаев, когда оператору персональных данных не нужно согласие человека на их обработку:

• когда человек уже заключил договор с организацией (например, для доставки товара продавец попросит адрес — согласие не нужно);
• когда данные требует закон (например, для отправки электронного чека нужен адрес электронной почты или номер мобильного телефона — согласие на их предоставление просить не надо);
• когда данные нужны для обеспечения безопасности или общественных интересов (например, сбор паспортных данных посетителей футбольного матча).

Обрабатывайте только необходимые персональные данные, не собирайте сведения «на всякий случай».

Бухгалтерия для ИП и ООО

Считаем за вас налоги и взносы, готовим отчеты, компенсируем штрафы. Занимайтесь бизнесом, а не бумагами!

Узнать подробности