Организация работы с персональными данными по 152-ФЗ
16.06.2025
Обработка и защита персональных данных в организации регулируются на законодательном уровне. Однако нормы и правила часто дополняются или меняются, из-за чего руководителям и сотрудникам компании приходится держать в голове все больше информации.
Какие виды персональных данных бывают? Что значит обработка персональных данных работника? Как защитить ПДн в соответствии с законом? И что будет, если не соблюдать правила 152-ФЗ? Собрали для вас наиболее важные темы в статье.
Что такое персональные данные и их обработка
Все действия, которые связаны с обработкой персональных данных, регулируются Федеральным законом № 152 «О персональных данных» от 2006 года. Его регулярно редактируют и добавляют новые положения. Данный закон также определяет, кто и какую роль выполняет, за что несет ответственность, когда дело касается личной информации. Любые действия с персональными данными — сбор, хранение, предоставление или уничтожение — являются обработкой. Организация, которая их выполняет, становится оператором, а сотрудники — субъектами ПДн.
Виды персональных данных
Сейчас в документе указаны 4 вида персданных, которые имеют свою специфику обращения.
1. Общедоступные — данные, которые публикуются в открытых источниках с согласия владельца: ФИО, пол, дата и место рождения, адрес прописки и проживания, место работы, адрес электронной почты, контактный номер телефона и сведения об образовании.
2. Специальные — персональные данные, которые включают в себя информацию о личной жизни субъекта, состоянии здоровья, его политические и религиозные взгляды, национальность.
3. Биометрические — к ним относят биологические и физиологические особенности, с помощью которых определяется личность субъекта. Например, фотография, ДНК, группа крови, отпечатки пальцев и т. д. Для обработки таких ПДн нужно получить предварительное разрешение.
4. Иные — персональные данные, которые нельзя определить в конкретную категорию. По сути, это дополнительные данные о личности, которые часто меняются. К примеру, зарплата, социальный статус, трудовой стаж и т. д.
Требования 152-ФЗ к обработке и защите персональных данных
Согласно закону № 152-ФЗ работодатели обязаны следить за безопасностью личных данных, которые поступили в ходе работы, и предотвращать их утечку. Мы составили пошаговую инструкцию, которая поможет вам защитить ПДн на практике.
Этап № 1
Разработайте и согласуйте правила обработки персональных данных в организации.
Без четких правил и регламентов обработки ПДн сотрудников организацию могут привлечь к ответственности по статье 5.27 Административного кодекса. Например, если вы не предоставите нужную документацию Роструду в момент проверки, компания получит штраф в размере от 30 до 50 тысяч рублей.
Итак, что должно быть в местной политике:
- правила, по которым будет обрабатываться, храниться и использоваться личная информация физлиц;
- список документов, в которых содержатся ПДн и которые нуждаются в защите;
- процессы передачи перепроверенных данных внутри компании и третьим лицам;
- перечень лиц, которые получат доступ к личной информации сотрудников;
- ответственность за нарушения правил, по которым происходит обработка ПДн: дисциплинарные, финансовые, административные, гражданско-правовые и уголовные последствия.
Этап № 2
Назначьте приказом ответственного сотрудника, который будет контролировать сбор и обработку персональных данных.
Руководитель должен выбрать ответственное лицо по надзору за управлением ПДн внутри компании. Данное правило указано в законе № 152-ФЗ (ч.1 ст. 18.1 и ч.1 ст. 22.1). Чаще всего сбор и обработку личных данных контролируют представители высшего руководства. К примеру, начальник кадрового подразделения, руководитель отдела безопасности или заместитель генерального директора. А вот управлением обработкой ПДн в автоматизированных системах может заниматься руководитель ИТ-отдела.
Этап № 3
Определитесь, кто из сотрудников будет иметь доступ к персональным данным.
В любой компании есть группа лиц, которые занимаются обработкой личных данных, это входит в их прямые обязанности. Среди них HR-специалисты, которые постоянно взаимодействуют с кандидатами, регистрируют и сканируют их личные документы для приема на работу. Поэтому необходимо предоставить им доступ и определить их полномочия, что прописано в п. 6 ст.88 Трудового кодекса.
Важно: уровень доступа должен определяться согласно должности сотрудника и его рабочим обязанностям. Тот же секретарь может использовать паспортные данные для покупки билетов, а бухгалтер — для оформления больничного или отпускных. Руководители отделов имеют доступ к личной информации только своих подчиненных.
Что должен сделать работодатель: обеспечить обязательство о неразглашении ПДн от каждого сотрудника, который получил к ним доступ. В документе прописывается, что физлицо обязуется не распространять, не разглашать и не использовать персональные данные других работников в личных целях. А еще в нем фиксируется, что физическое лицо было предупреждено об ответственности согласно ст. 90 ТК РФ.
Этап № 4
Создайте безопасные условия для хранения персональных данных.
Обработка персональных данных может осуществляться в электронной системе или вручную. От этого зависит метод хранения ПДн. Рассмотрим подробнее.
Если вы используете автоматизированную систему, ее меры по защите информации должны соответствовать приказу ФСТЭК № 21 от 18 февраля 2013 года.
Основные из них:
- разграничение доступа к базам данных и личной информации в зависимости от категории сотрудника;
- наличие двухуровневой схемы паролей на уровне локальной сети и баз данных;
- регулярная смена паролей, желательно — каждый месяц;
- доступ к ключам только авторизованным пользователям.
Цифровая система должна полностью соответствовать законодательным требованиям и надежно защищать ПДн от утечки. Например, такой системой является LDM.Цифровой архив. В ней регламентированы все правила работы с персональными данными, такие как поиск, хранение, управление и утилизация документов.
В системе есть два вида архивов:
оперативный – для документов, которые хранятся до 10 лет,
долговременный — обеспечивает постоянное или длительное хранение документов (более 10 лет).
В LDM.Цифровой архив можно устанавливать уровни доступа для каждого сотрудника, формировать список документации на экспертизу ценности, подготавливать ее к аудиту и проверкам, а также распределять по папкам или вручную в зависимости от типа документа.
Если в компании ведется бумажный документооборот, то работодатель обязан:
- обеспечить место для хранения физических носителей и персонализированный доступ;
- сформировать перечень сотрудников, которым разрешено использовать хранилище;
- оборудовать архив системами видеонаблюдения и сигнализацией (при необходимости).
Этап № 5
Получите согласие персонала на обработку личной информации.
Доступ к данным сотрудника из его документов и резюме не требует согласия. Но в качестве меры предосторожности, чтобы предотвратить штрафы и утечку информации, лучше его запросить.
Также с 2021 года требуется еще согласие на распространение персональных данных. Оно необходимо, когда вы планируете раскрыть перепроверенную информацию неопределенным пользователям. Например, если публикуете данные об образовании и опыте работы сотрудника на корпоративном сайте, в журнале, визитных карточках и т. д.
Этап № 6
Уведомите Роскомнадзор.
Перед тем, как собирать сведения о кандидатах, сотрудниках или клиентах для обработки их ПДн, необходимо уведомить об этом Роскомнадзор. Это прописано в ст. 22.1 закона № 152-ФЗ. Форму уведомления можно найти в Приказе Роскомнадзора № 180.
Что нужно указать в документе:
- информацию об операторе,
- цель обработки ПДн,
- категории персональных данных и категории субъектов ПДн,
- правовое основание,
- список действий для ОПД,
- данные о лицах, которые несут ответственность за организацию ОПД,
- перечень должностных лиц, у которых будет доступ к ПДн,
- список защитных мер ПДн,
- дату начала обработки персональных данных, а также срок или условия для ее завершения,
- информацию о наличии/отсутствии трансграничной передачи данных,
- сведения о месте хранения базы данных.
Отправить уведомление можно тремя способами: в местном отделении Роскомнадзора, на их сайте или через портал «Госуслуги».
Положение о защите данных
Положение о защите персональных данных — обязательный документ, который должен быть в любой компании. Однако универсального шаблона или образца для него нет. Дело в том, что для каждой организации содержание положения будет отличаться в зависимости от ее деятельности.
Однако Закон № 152-ФЗ все же определяет основные моменты, которые следует раскрыть в документе. Это защитит компанию от возможных штрафов. Советуем раскрыть в положении следующие аспекты:
➞ цели и задачи, для достижения которых необходима ОПД;
➞ определение ПДн для конкретной цели, их состав и группировки;
➞ инструкции, по которым компания будет работать с персональными данными физлиц;
➞ описание носителей, на которых будет храниться личная информация;
➞ список прав сотрудника, которые касаются обеспечения защиты и безопасности его личных данных;
➞ прямые обязанности работодателя, который является оператором ПДн;
➞ индивидуальный список мер в компании, которые регламентируют защиту ПДн сотрудника от неправомерного использования, утечки или кражи;
➞ перечень административной и уголовной ответственности, который несет работодатель за несанкционированный доступ и разглашение ПДн;
➞ список лиц, которые имеют доступ и работают с личными данными в компании.
Чтобы положение о защите персональных данных вступило в силу, нужно согласовать его с профсоюзным органом, утвердить локальный норматив, ознакомить сотрудников с документом и опубликовать.
Ответственность за нарушение 152-ФЗ
В мае в России вступил в силу закон об изменениях в Кодексе об административных правонарушениях. Одни из них подразумевают новые составы нарушений, другие — увеличение денежных санкций за них. Ознакомиться с законом и полным списком штрафов можно здесь.
Размер штрафных санкций зависит от числа пострадавших субъектов ПДн и вида проступка:
- незаконная передача персональных данных;
- нелегальное распространение информации специальных категорий;
- неправомерное распространение биометрических данных;
- утечка и т. д.
Самый большой штраф грозит компании за раскрытие биометрии — от 15 до 20 миллионов рублей.
Подведем итоги
1. Сбор, обработка, хранение и использование персональных данных физлиц должны проводиться с соблюдением Федерального закона № 152 «О персональных данных».
2. Существует 4 категории персональных данных: общедоступные, специальные, биометрические и иные, которые нельзя определить в конкретную группу.
3. Прежде чем начать работать с личными данными, нужно составить правила их обработки, назначить ответственное лицо, разграничить доступ, создать безопасные условия для хранения ПДн, получить согласия сотрудников и направить уведомление в Роскомнадзор.
4. В каждой компании должно быть разработано положение о защите персональных данных, его содержание и оформление зависит от деятельности компании.
5. За несоблюдение мер защиты компании могут выписать штраф. Его размер зависит от тяжести нарушения.
Часто задаваемые вопросы (FAQ)
Персональные данные (ПДн) — это сведения, которые напрямую или косвенно позволяют идентифицировать человека.
Обработка персональных данных — процессы сбора, записи, систематизации, хранения, уточнения, использования, передачи, обезличивания, блокировки и уничтожения.
Компания, которая определяет цели и средства обработки, выступает оператором ПДн, а сотрудники/клиенты — субъектами.
Обработка персональных данных — процессы сбора, записи, систематизации, хранения, уточнения, использования, передачи, обезличивания, блокировки и уничтожения.
Компания, которая определяет цели и средства обработки, выступает оператором ПДн, а сотрудники/клиенты — субъектами.
Персональные данные бывают общедоступными, специальными, биометрическими и «иными». Наиболее чувствительные — специальные категории (здоровье, личная жизнь, убеждения и т. д.) и биометрия (фото, отпечатки, ДНК и др.). Для них требуется повышенный уровень обоснования, регламентов доступа и мер защиты, а также корректно оформленные основания/согласия — иначе риски претензий регулятора повышаются.
К обязательным документам и регламентам относятся:
Эти материалы являются доказательной базой при проверках.
- локальная политика/положение о защите ПДн,
- перечни документов и ИСПДн,
- регламенты доступа и передачи данных (включая третьим лицам),
- назначение ответственного,
- порядок реагирования на инциденты,
- документы, подтверждающие ознакомление сотрудников и обязательства о неразглашении.
Эти материалы являются доказательной базой при проверках.
В ИСПДн критичны:
Для ИСПДн меры безопасности соотносят с требованиями ФСТЭК (в т.ч. приказ № 21). На практике это удобнее внедрять через защищенную систему хранения и управления документами, где права, аудит действий, сроки хранения и утилизация описаны в процессах и настройках.
- разграничение прав доступа (RBAC),
- надежная аутентификация,
- журналы событий,
- управление паролями/ключами,
- резервное копирование и контроль целостности,
- регламенты администрирования.
Для ИСПДн меры безопасности соотносят с требованиями ФСТЭК (в т.ч. приказ № 21). На практике это удобнее внедрять через защищенную систему хранения и управления документами, где права, аудит действий, сроки хранения и утилизация описаны в процессах и настройках.
Оператор обязан уведомить РКН о намерении обрабатывать ПДн, указав цели, категории данных и субъектов, меры защиты, ответственных лиц и сведения о хранении/передаче (формы утверждены приказом РКН № 180).
За нарушения возможны существенные штрафы, а после изменений, вступивших в силу с 30.05.2025, санкции за потери и неправомерные действия с ПДн стали значительно строже. Штраф за утечку биометрических данных для организаций — около 15−20 млн руб.
За нарушения возможны существенные штрафы, а после изменений, вступивших в силу с 30.05.2025, санкции за потери и неправомерные действия с ПДн стали значительно строже. Штраф за утечку биометрических данных для организаций — около 15−20 млн руб.
Полезные материалы для руководителей и ИТ-специалистов
Рассказываем про изменения в законах, новости, бесплатные вебинары
