Как защитить персональные данные от утечки

Назначьте ответственного за персональные данные и объясните ему обязанности

Каждая компания должна назначить сотрудника, ответственного за работу с персональными данными (ч. 1 ст. 18.1, ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Ответственный за персданные может быть только один. Нельзя, например, назначить ответственным за данные сотрудников кадрового специалиста, а за данные клиентов начальника отдела продаж (ч. 1 ст. 18.1 и ст. 22.1 Закона № 152-ФЗ).

Если назначаете ответственным за персданные сотрудника компании, оформите это официально:

— заключите с работником допсоглашение к трудовому договору;

— издайте приказ о назначении;

— подпишите с работником обязательство о неразглашении персональных данных.

Если не назначить ответственного, то в случае нарушений накажут директора компании, судьи с этим согласятся (решение Эжвинского районного суда г. Сыктывкара от 23.12.2019 по делу № 12-392/2019, постановление Хасынского районного суда Магаданской области от 12.02.2021 по делу № 5-28/2021).

Чтобы ответственный мог полноценно исполнять свои обязанности по защите персональных данных, составьте должностную инструкцию (п. 1 ст. 18.2 Закона № 152-ФЗ). В этой же инструкции закрепите ответственность работника за ее неисполнение.

Без уведомления — работа с данными незаконна, а с 30 мая Роскомнадзор начнёт массовые проверки.

Как избежать штрафов?

Главбух Ассистент возьмёт всю работу с персональным данными на себя:

✅ Подадим уведомление в Роскомнадзор — правильно заполним и отправим.

✅ Подготовим все документы: согласия, регламенты, политику обработки.

✅ Проверим ваш сайт на соответствие 152-ФЗ.

✅ Обучим сотрудников и поможем с защитой данных.

Всё уже включено в тариф «Бухгалтерия + Кадры» — никаких доплат! Оставьте заявку — подготовим индивидуальное коммерческое предложение для вашей компании.

На заметку

Любой сотрудник может пострадать, если разгласит персданные

Не только ответственный за работу с персданными может поплатиться за нарушение. С прошлого года действует новая статья 272.1 УК, по ней уже привлекают виновных в утечках. Например, в Свердловской области в преступлении обвинили уборщицу больницы. Она официально не имела доступа к персональным данным, но сфотографировала в кабинете врача экран компьютера с информацией о пациентке и потом разослала фото. Это были данные о диагнозе, которые относятся к специальной категории (ст. 10 Закона № 152-ФЗ). За их распространение могут дать срок до пяти лет (данные прокуратуры Свердловской области. →t.me/sverdlovskprok).

Регламентируйте доступ к персданным

Чтобы защититься от утечки, надо контролировать тех, кто имеет доступ к персданным. Необходимо закрепить в локальных документах права и ответственность сотрудников, а также обеспечить физическую безопасность информации.

Определите, у кого есть доступ к данным. Составьте перечень сотрудников с доступом. Достаточно перечислить должности и структурные подразделения, Ф. И. О. не обязательны. Если увольняется допущенный к персданным работник, корректировать перечень не нужно, так как в нем нет привязки к конкретному человеку.

Утвердите регламент работы с данными. Его составляют в свободной форме. С регламентом нужно ознакомить под подпись всех сотрудников компании. Так они будут знать, что делать, если нужно получить доступ к данным.

Установите запрет на разглашение данных в должностных инструкциях. Только если запрет есть, вы сможете уволить сотрудника за разглашение (ст. 90 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).

Обеспечьте физическую защиту. Запретите сотрудникам, у которых нет доступа к персданным, в одиночку оставаться в помещениях, где хранится такая информация. Ключи от комнат не должны находиться в общем доступе или, например, у уборщицы. Она может убираться только в присутствии кого-то из сотрудников с доступом (п. 7 Рекомендаций Роскомнадзора от 08.08.2023).

Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Стоимость обслуживания в Главбух Ассистент — от 27 480 рублей. За эти деньги вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Закажите бесплатный звонок, и мы расскажем, что конкретно входит в каждый пакет услуг.

Проведите аудит защиты персональных данных

Проверить, как в компании работают меры защиты персональных данных, поможет аудит. Проводить его обязан каждый оператор (ч. 1 ст. 18.1 Закона № 152-ФЗ). Процедуру аудита можно утвердить отдельным локальным актом, например положением об аудите, или включить в положение о защите персональных данных. В документе зафиксируйте предмет проверки, ее способ, процедуру и правила оформления результатов. Ответственным за проведение аудита может быть сотрудник оператора или сторонняя компания.

Для проверки можно использовать чек-лист, который мы составили на основе приказа Роскомнадзора от 24.12.2021 № 253. Ответы покажут, соответствуют ли действия компании обязательным требованиям закона о защите персданных, и помогут подготовиться к проверке ведомства.

Чек-лист. Что проверить по персданным в процессе аудита

Компания составила политику в области обработки персональных данных, положение о защите персональных данных и порядок их уничтожения.

К работе с персональными данными вы допускаете только сотрудников по перечню и после того, как оформили обязательства о неразглашении.

Если поручаете обрабатывать данные третьим лицам, сотрудники дают согласие на такую обработку.

Помещения, где находятся персональные данные, безопасны.

Компания подавала уведомление об обработке данных в Роскомнадзор и состоит в реестре операторов персональных данных.