Как вести обработку персональных данных в разных форматах

Незнание требований или халатное отношение к безопасности данных может привести к серьезным проблемам и финансовым потерям. Мы расскажем, как организовать работу с ПДн, чтобы избежать неприятностей и сохранить доверие клиентов.

Что относится к персональным данным

ФЗ от 27.07.2006 №152-ФЗ — основной закон, который регулирует сбор, хранение и обработку личной информации в России. В нем не раскрывается список конкретных ПДн, но по общему правилу они делятся на несколько категорий:

1. Общие.

К ним относится информация, необходимая для базовой идентификации личности:

• фамилия, имя, отчество (ФИО);
• пол;
• дата и место рождения;
• паспортные данные (серия, номер, дата выдачи);
• адрес регистрации или проживания;
• сведения о трудовой деятельности (место работы, должность);
• контактные данные (телефон, электронная почта).

2. Специальные ПДн.

Эта категория включает более чувствительную информацию, раскрывающую частную жизнь человека:

• национальная и расовая принадлежность;
• религиозные, философские и политические убеждения;
• состояние здоровья, медицинские диагнозы;
• подробности интимной жизни;
• данные о судимостях или привлечении к уголовной ответственности.

3. Биометрические ПДн.

К ним относятся физиологические и биологические характеристики, используемые для идентификации личности:

• фотографии и видеозаписи (если позволяют установить личность);
• отпечатки пальцев, ладоней, рисунок радужной оболочки глаза.

Под обработкой ПДн подразумеваются любое действие или совокупность действий, совершаемых с ними, включая сбор, запись, систематизацию, хранение, изменение, передачу, обезличивание и уничтожение. Она осуществляется оператором (организацией или физлицом) в соответствии с ФЗ №152-ФЗ и требует согласия субъекта ПДн, за исключением случаев, предусмотренных законодательством.

Пример обработки ПДн:

Покупатель вводит данные банковской карты (номер, срок действия, CVV) при оплате заказа. Магазин (оператор) передает эти данные платежному агрегатору (например, ЮKassa или Сбербанк Эквайринг), который проверяет платеж и списывает деньги. После покупки данные карты либо удаляются, либо хранятся в зашифрованном виде для повторных платежей (если клиент дал согласие). Это считается обработкой финансовых данных покупателей. 

Большинство компаний для работы с ПДн используют средства автоматизации, но есть и предприниматели, которые их не применяют. В обоих случаях действуют определенные правила — их должны соблюдать все. 

Правила ведения бумажного документооборота

При обработке персональных данных в соответствии с ФЗ №152-ФЗ работодатель или HR-отдел действуют самостоятельно, не привлекая сторонние организации и не используя средства автоматизации. Компания обязана соблюдать ряд ключевых требований.

1. Обязательные организационные меры. В соответствии с Политикой в отношении обработки персональных данных должны быть разработаны и утверждены следующие локальные документы:

• регламенты обработки ПДн — четкие правила выполнения каждого действия с персональными данными (сбор, хранение, передача, уничтожение) с учетом способа обработки (автоматизированный или неавтоматизированный);
• перечень лиц, имеющих доступ к ПДн — список сотрудников, уполномоченных запрашивать и обрабатывать ПДн или имеющих к ним доступ;
• перечень документов, содержащих ПДн — утвержденные формы анкет, личных дел и других носителей персональных данных;
• порядок передачи ПДн — регламент внутреннего и внешнего обмена информацией (включая передачу в государственные органы);
• меры ответственности — положения о дисциплинарных, административных и иных санкциях за нарушения режима обработки ПДн.

2. Ответственный за обработку персональных данных. Он обязательно должен быть назначен приказом руководителя. В его обязанности входит:

• контроль за соблюдением ФЗ №152-ФЗ и внутренних регламентов;
• обучение сотрудников правилам работы с ПДн;
• прием и обработка обращений субъектов ПДн или контроль за приемом и обработкой таких обращений.

Также у оператора должна быть утвержденная форма согласия на обработку ПДн. В нем обязательно указываются цели, для которых нужны данные, а также их перечень и срок действия документа (ст. 9 ФЗ №152-ФЗ). 

Автоматизированная обработка цифровых данных

При использовании средств автоматизации для работы с персональными данными компания должна соблюдать строгие правила. Вот что важно знать:

1. Выбор сервиса обработки данных:

• система становится вашим субподрядчиком;
• проверьте лицензию и политику сервиса;
• убедитесь, что сбор данных соответствует целям.

2. Обработка цифровых данных без уведомления РКН запрещена (но есть исключения):

• подайте в Роскомнадзор уведомление о начале обработки;
• обеспечьте надежный уровень защиты ИСПДн согласно Постановлению Правительства РФ от 01.11.2012 №1119 и Приказу ФСТЭК России от 18 февраля 2013 г. № 21. 

3. Особенности работы в 1С и других системах КЭДО:

• данные должны храниться только на серверах в России;
• система не должна обрабатывать биометрические и специальные категории данных;
• проверьте, куда и как передаются данные при использовании облачных решений

4. Безопасность прежде всего:

• назначьте ответственного за обработку данных;
• регулярно проверяйте соблюдение требований ФЗ №152-ФЗ;
• помните: штрафы за нарушения значительны.

Важно: обработка цифровых данных в 1С или других системах требует такого же серьезного подхода, как и работа с бумажными документами, но требований к защите в разы больше. 

Ответственность оператора

Если оператор не соблюдал ФЗ №152-ФЗ при обработке данных, последствия для компании могут быть существенными. Так, за работу с ПДн при помощи ПО без уведомления Роскомнадзора предусмотрен штраф до 300 000 рублей (ст. 13.11 КоАП РФ). 

За неправомерную передачу или утечку оштрафуют на сумму до 20 млн рублей, а в при повторной утечке биометрии штраф может составить до 500 млн рублей. 

Заключение

Каждый оператор обязан соблюдать ФЗ №152-ФЗ и регулярно проводить внутренний контроль обработки цифровых и иных данных. Аудит процессов, защита ПДн и обучение сотрудников помогут избежать утечек и штрафов. Надежная система контроля — это не просто формальность, а безопасность вашего бизнеса.