Защита персональных данных работника
При поступлении на работу сотрудник еще на этапе собеседования предоставляет объемный пул информации о себе. К ним относятся: ФИО, образование, опыт работы, характеристики с предыдущих мест работы и др. Вся эта информация попадает в информационное поле предприятия, тем самым становясь частью этого поля, а значит подвергаясь общим информационным рискам. Поэтому предлагаем познакомиться с темой, как формируется защита персональных данных работников, в этой статье.
Общие сведения о персональных данных
Рассмотрим саму определение этого термина.
Персональные данные (ПДн)
это все сведения, которые позволяют прямо или косвенно идентифицировать конкретного человека (так называемого субъекта персональных данных).
Что относится к персональным данным работника
Рассмотрим подробнее, какие сведения относятся к персональным данным. Для компании, которая находится в процессе подбора и управления персоналом, к такому типу данных относится следующая информация.
| Тип данных | Описание |
|---|---|
| Идентификационные данные | Фамилия, имя, отчество работников, претендентов на должность и кандидатов при трудоустройстве |
| Место и дата рождения | Сведения о месте и дате рождения |
| Адрес проживания | Адрес постоянной регистрации, адрес фактического проживания |
| Паспортные данные | Данные, указанные в официальных документах, удостоверяющих личность |
| Государственные идентификаторы | СНИЛС, ИНН и аналогичные уникальные номера |
| Контактная информация | Телефонные номера, адреса электронной почты |
| Технические данные | IP-адреса устройств, используемых для взаимодействия |
| Фото- и видеоматериалы | Изображения, позволяющие идентифицировать человека |
| Биометрические данные | Отпечатки пальцев, сканирование радужной оболочки глаза и др. |
| Медицинская информация | Информация о состоянии здоровья сотрудников |
| Профессиональные и социальные данные | Сведения об образовании, доходах и других социально-экономических аспектах |
Вся эта информация помогает охарактеризовать персонал компании, дать объемное понимание того, какие сотрудники работают, их роль в управлении и глубину вовлеченности. Персональные данные могут использоваться для таргетированных атак на предприятие, с применением методов социальной инженерии. Они также обладают общей ценностью как информационный актив, который может быть использован в целях конкурентной разведки, вымогательства или манипулирования поведением сотрудников.
Кроме того, утечка таких данных может повлечь за собой репутационные потери для предприятия, привести к юридическому преследованию и снижению доверия со стороны партнеров и клиентов.
Обработка и защита персональных данных
Использование ПДн может быть представлено на предприятии по разному. Данные могут просто храниться в базе данных сотрудников, быть объектом исследования пользовательского спроса, источником для рекламы и так далее. Каждый из методов обработки персональной информации должен сопровождаться надежными мерами защиты. Рассмотрим подробнее.
Определение и виды обработки персональных данных
Обработка данных — это любое действие, совершаемое с данными, как вручную, так и с помощью автоматизированных средств. Это понятие особенно важно в контексте законодательства о персональных данных и информационной безопасности.
Согласно Федеральному закону РФ №152-ФЗ от 27.07.2006 г. «О персональных данных», обработка данных включает в себя:
«…любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных».
Основные стадии обработки персональных данных
Получение (сбор данных)
На этом этапе осуществляется извлечение персональной информации у субъекта данных или из сторонних легитимных источников (например, от партнеров или через формы обратной связи). Важно, чтобы сбор осуществлялся на основании согласия субъекта ПДн или законного представителя.
Хранение
ПДн сохраняются в системах хранения предприятия — на физических носителях, корпоративных серверах или облачных хранилищах. Хранение должно осуществляться с учетом мер безопасности, предотвращающих несанкционированный доступ, утечку или порчу информации.
Обработка и использование
Полученные сведения применяются строго в рамках целей, обозначенных при их сборе (например, для заключения договора, предоставления услуг, обратной связи или аналитики). Любое отклонение от первоначальной цели требует получения нового согласия субъекта.
Передача информации третьим сторонам
ПДн могут быть переданы третьим сторонам (подрядчикам, государственным органам или партнерам) только при наличии законных оснований для транзита, договоров о конфиденциальности и соблюдении стандартов ИБ.
Обезличивание
Этот процесс предполагает исключение из массива персональной информации всех идентификаторов, позволяющих установить личность субъекта. Обезличенные данные могут использоваться, например, для статистических или научных целей.
Удаление и уничтожение ПДн
Когда персональная информация становится неактуальной, более не требуется или закончился срок хранения, она подлежит удалению со всех систем хранения или физическому уничтожению. Это должно быть выполнено таким образом, чтобы восстановление данных стало невозможным.
Обработка специальных категорий персональных данных
Существует специальные условия, касающиеся обработки специальных категорий данных расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Это действие не допускается ни в каких случаях, за исключением прямо предусмотренных законом.
Исключение из этого запрета возможно для обработки информации и при наличии законодательно утвержденных условий работы с данными (хотя бы одного их списка):
- если было получено письменное согласие субъекта данных на обработку;
- если данные разрешены субъектом для распространения;
- если обработка необходима для спасения жизни и здоровья, или получение согласия невозможно в данный момент из-за угрозы здоровью субъекта;
- если производится обработка информации врачом, обязанным хранить тайну, в медицинских целях;
- если производится обработка в рамках религиозных организаций или общественных объединений (без распространения);
- если необходимо использовать обработанную информацию в целях осуществления правосудия, защиты прав субъектов или третьих лиц;
- если процесс происходит в рамках законодательства РФ в сферах соцпомощи, обороны, безопасности, здравоохранения, пенсионного обеспечения, страхования, борьбы с коррупцией и др.;
- либо в рамках международных договоров, переписи населения, устройства детей в семьи, получения гражданства и прокурорского надзора.
Также утверждено, что обезличенные данные о здоровье могут обрабатываться в рамках государственных инициатив, включая эксперименты по применению технологий искусственного интеллекта.
Ответственный оператор ПДн должен понимать, что если основания, дающие право на обработку таких данных, исчезают, обработка должна быть незамедлительно прекращена, если иное не предусмотрено законом.
Согласие на обработку персональных данных
Как мы говорили выше, субъект данных — это владелец персональной информации, полученные данные характеризуют его. Именно субъект ПДн дает свое согласие на обработку характеризующей информации, которое должно носить свободный характер, быть однозначным, конкретным и информированным.
Согласие может предоставляться в любой из нижеперечисленных форм, позволяющих достоверно подтвердить факт получения согласия от субъекта. В зависимости от ситуации это может быть:
- письменная форма, применяемая обязательно в установленных законодательством случаях, для обработки информации специальных категорий;
- электронная форма, используемая в случае получения электронной подписи квалифицированного типа, соответствующая требованиям законодательства о цифровой подписи.
Письменное согласие должно в обязательном порядке содержать информацию:
- Идентификационные данные субъекта персональных данных либо его законного представителя (при наличии).
- Сведения об операторе персональных данных, а также (при необходимости) о третьих лицах, которым делегируется обработка.
- Конкретная цель обработки персональных данных.
- Перечень обрабатываемых данных, а также список возможных действий с ними (сбор, хранение, использование, передача и т.д.).
- Указание срока действия согласия и механизм его отзыва.
- Подпись субъекта данных либо его представителя.
Также необходимо понимать, что согласие на обработку данных можно отозвать по желанию субъекта. Для этого субъект должен выслать уведомление оператору, что прекращает отношения и требует не использовать характеризующую информацию о себе. Существуют и исключительные случаи, когда обработка ПДн допускается без получения согласия в соответствии с федеральным законодательством (например, для исполнения судебного акта или обеспечения общественной безопасности).
Такой подход к оформлению согласия обеспечивает прозрачность отношений между субъектом данных и оператором. Также служит гарантией соблюдения прав и свобод граждан в сфере персональной информации.
Организация защиты персональных данных в организации
Организация системы защиты персональных данных — это не только юридическая обязанность, закрепленная в федеральных законах, но и элемент репутационной и экономической устойчивости бизнеса.
В первую очередь организация обязана соблюдать требования законодательства. В России это Федеральный закон № 152-ФЗ «О персональных данных», а также подзаконные акты, определяющие порядок обработки и защиты ПДн. Для некоторых сфер (банки, здравоохранение, госструктуры) действуют дополнительные нормативы, в том числе требования Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности.
Одним из первых шагов по защиты персональных данных в организации является назначение лица или подразделения, ответственного за организацию обработки и защиту персональных данных. Этот сотрудник должен контролировать соблюдение требований закона, вести учет операций с персональными данными, проводить внутренние проверки и взаимодействовать с надзорными органами.
При этом организация должна ответить на несколько вопросов:
- Какие данные она обрабатывает (например: ФИО, паспортные данные, сведения о здоровье, биометрия и др.)?
- К какой категории они относятся (общедоступные, специальные)?
- Для каких целей они собираются?
- Кому и как могут передаваться?
Это необходимо для корректной оценки рисков и выбора адекватных мер защиты.
Разработка локальной документации
Во внедрении внутренней нормативно-правовой документации фиксируется норма безопасности, принятая в конкретной организации.
| Тип документа | Описание |
|---|---|
| Политика обработки и защиты ПДн | Основной документ, определяющий подход организации к обработке и защите персональных данных |
| Регламент работы с ПДн | Правила и процедуры взаимодействия с персональными данными внутри организации |
| Согласия субъектов | Документы, подтверждающие получение согласия субъектов на обработку их персональных данных |
| Договоры с контрагентами | Соглашения о передаче и защите ПДн при взаимодействии с третьими лицами |
| Внутренние распорядительные документы | Приказы, инструкции, акты классификации информационных систем и другие документы, фиксирующие нормы безопасности |
Внесение в Реестр операторов персональных данных
Каждая организация или индивидуальный предприниматель, осуществляющие сбор и обработку персональных данных в автоматизированных системах, обязаны пройти регистрацию в Реестре операторов персональных данных, который ведет Роскомнадзор. Эта процедура регламентирована ФЗ № 152 и необходима для легализации деятельности по обработке персональных данных.
Регистрация осуществляется путем подачи уведомления через портал Роскомнадзора (pd.rkn.gov.ru). В заявлении указываются цели обработки, категории собираемых данных, используемые меры защиты, информация об операторе и ответственном лице, а также сведения о возможности трансграничной передачи. После рассмотрения заявления, которое занимает до 30 календарных дней, оператор получает регистрационный номер и включается в публичный реестр.
Важно помнить, что при изменении условий обработки (например, смене адреса, добавлении новых целей) сведения в реестре должны быть обновлены в течение 10 рабочих дней. Нарушение требований по регистрации может повлечь за собой административную ответственность, включая штрафы. Исключение из реестра возможно только при полном прекращении обработки персональных данных.
Назначение ответственного за обработку данных
Согласно законодательства РФ, каждое предприятие использующее для обработки персональные данные, обязано решить задачу с возложением ответственности за организацию процесса обработки ПД на ответственное лицо. Это может быть утвержденный сотрудник или сотрудники, которые будут соблюдать установленные стандарты безопасности.
Назначение ответственного лица за обработку, сбор и хранение персональных данных фиксируется в приказе руководителя организации (в произвольной письменной форме). В качестве ответственного может быть определен любой сотрудник организации, как из числа административного персонала, так и технического (например, IT-специалист). При этом должно соблюдаться условие непосредственного подчинения руководителю организации и отсутствия конфликта интересов.
Основной задачей ответственного за обработку персональных данных является организация и обеспечение внутреннего контроля за соответствием деятельности организации требованиям законодательства в области персональных данных, в том числе:
- реализация предусмотренных законом мер по защите персональных данных;
- информирование работников организации о действующих правовых и внутренних регламентах в сфере обработки персональных данных;
- организация рассмотрения и обработки запросов субъектов персональных данных, а также взаимодействие с контролирующими органами (в частности, Роскомнадзором);
- участие в разработке, внедрении и актуализации локальных нормативных актов, регламентирующих обработку и защиту персональных данных;
- контроль соблюдения установленных процедур при доступе к персональным данным и правомерности их обработки.
Определение доступа к персональным данным
Определение доступа к персональным данным представляет собой совокупность организационных и правовых мер, направленных на регулирование и контроль использования такой информации в пределах служебной необходимости. В соответствии с ФЗ № 152, доступ предоставляется только тем сотрудникам, чьи должностные обязанности предполагают обработку персональных данных. Это должно быть зафиксировано в должностных инструкциях и иных локальных нормативных актах.
Доступ предоставляется строго в пределах полномочий, с соблюдением требований конфиденциальности. Все действия с персональными данными подлежат регистрации, что обеспечивает прозрачность и контроль. Лица, имеющие доступ, несут ответственность за сохранение тайны и недопущение несанкционированного распространения сведений.
Субъекты персональных данных имеют право на доступ к информации о себе. В таких случаях организация обязана исключить раскрытие данных третьих лиц. За соблюдением порядка доступа следят ответственные за обработку данных и администраторы информационных систем.
Обеспечение безопасного хранения данных
Безопасное хранение персональных данных должно обеспечивать выполнение одного основного требования: исключать несанкционированное распространение персональных данных. Для этого реализуются следующие меры ИБ:
- защита помещения для документов на физических носителях (в бумажном виде, CD-дисках, USB-картах);
- реализация программных мер защиты от вредоносного программного обеспечения (антивирусная защита, средства криптографической защиты информации);
- обеспечение резервного копирования документов на регулярной основе;
- настройка систем мониторинга и журналирования действий с документами;
- применение систем противодействия утечкам информации (DLP-систем).
Также, в случае хранения данных в облачных сервисах необходимо удостовериться, что провайдер соответствует требованиям российского законодательства.
Меры по правовой защите персональных данных
В отношении всех третьих лиц, которым передаются персональные данные, должны быть заключены письменные договоры, регламентирующие допустимые действия с передаваемой информацией, меры ответственности за нарушение обязательств, порядок уведомления и реагирования в случае инцидента утечки данных.
Внутри организации необходимо разработать и внедрить локальные нормативные акты. Эти документы должны содержать перечень обязанностей при работе с ПДн, механизмы разграничения прав доступа, а также назначение ответственных лиц (в том числе оператора и уполномоченного по защите ПДн). Особое внимание следует уделить регламентации дисциплинарной и материальной ответственности за нарушение порядка обработки данных.
Технические меры защиты персональных данных
Для обеспечения технической безопасности персональных данных используются сертифицированные средства защиты информации, соответствующие требованиям ФСТЭК и ФСБ России. К ним относятся системы шифрования данных, механизмы защиты от распределенных атак (anti-DDoS), а также решения класса SIEM для централизованного мониторинга событий информационной безопасности.
Важную роль играет строгий учет и контроль использования внешних носителей информации, попыток несанкционированного доступа, копирования, передачи ПДн. Данный учет может быть организован с помощью DLP-систем, которые фиксируют все действия пользователей через логирования событий безопасности и регистрацию попыток доступа к защищаемым ресурсам, а также помогают оперативно выявить инциденты информационной безопасности и автоматизировать реагирование на них.
Организационные меры защиты ПДн
Организационные меры защиты персональных данных являются важным элементом системы информационной безопасности предприятия. Ключевым принципом выступает ограничение доступа к данным на основе концепции «минимально необходимого уровня», при которой сотрудники получают доступ только к тем сведениям, которые необходимы для выполнения их обязанностей. Это позволяет значительно снизить риск несанкционированного обращения с конфиденциальной информацией.
Важной частью защиты также является регулярное обучение сотрудников вопросам информационной безопасности. Обучение охватывает как теоретические основы, так и практические аспекты защиты данных.
Штрафы и санкции за нарушение правил обработки персональных данных
Нарушение правил обработки персональных данных в Российской Федерации влечет за собой административную, гражданско-правовую и уголовную ответственность. Размер санкций зависит от типа нарушения, количества пострадавших, а также от наличия повторных или массовых инцидентов. С 30 мая 2025 года вступили в силу изменения, значительно ужесточились штрафные меры. Ниже приведена таблица с актуальными штрафами по состоянию на 2025 год.
| № | Нарушение | Физическое лицо | Должностное лицо | Юридическое лицо | Примечание |
|---|---|---|---|---|---|
| 1 | Обработка ПДн без оснований или с нарушениями | до 15 000 ₽ | до 100 000 ₽ | до 300 000 ₽ | Повторное нарушение — удвоенные санкции |
| 2 | Отсутствие письменного согласия субъекта | до 15 000 ₽ | до 100 000 ₽ | до 300 000 ₽ | |
| 3 | Неуведомление Роскомнадзора о начале обработки | до 50 000 ₽ | до 150 000 ₽ | до 300 000 ₽ | |
| 4 | Неуведомление РКН о факте утечки | до 100 000 ₽ | до 800 000 ₽ | до 3 000 000 ₽ | |
| 5 | Утечка от 1 000 до 10 000 субъектов | до 200 000 ₽ | до 400 000 ₽ | до 5 000 000 ₽ | |
| 6 | Утечка от 10 000 до 100 000 субъектов | до 300 000 ₽ | до 500 000 ₽ | до 10 000 000 ₽ | |
| 7 | Утечка более 100 000 субъектов или более 1 млн идентификаторов | до 400 000 ₽ | до 600 000 ₽ | до 15 000 000 ₽ | |
| 8 | Нарушение порядка обработки специальных категорий данных (медицинские, расовые и т.п.) | до 400 000 ₽ | до 1 300 000 ₽ | до 15 000 000 ₽ | Повтор — оборотный штраф: до 3% выручки, минимум 25 млн ₽ |
| 9 | Нарушения при работе с биометрическими персональными данными | до 500 000 ₽ | до 2 000 000 ₽ | до 20 000 000 ₽ | Повтор — оборотный штраф до 500 млн ₽ или 3% годового оборота |
| 10 | Систематические нарушения (3+ за год) | Возможна приостановка | Возможна приостановка | Возможна приостановка | По решению суда |
| 11 | Необеспечение доступа к политике обработки ПДн | до 50 000 ₽ | до 100 000 ₽ | до 300 000 ₽ | |
| 12 | Компенсация морального вреда (по иску гражданина) | По решению суда | Размер компенсации устанавливается судом |
Рекомендации по соблюдению законодательства
Чтобы минимизировать риски, работодателям следует придерживаться следующих рекомендаций:
- назначайте ответственного за персональные данные на уровне приказа;
- обеспечивайте регулярное обновление и аудит внутренних регламентов;
- используйте специализированные системы защиты информации;
- обучайте персонал правилам обращения с ПДн;
- проводите внутренние проверки по чек-листу Роскомнадзора;
- соблюдайте порядок уничтожения данных по окончании срока хранения.
Также рекомендуется использовать лицензионные средства защиты информации, одобренные ФСТЭК России. Это особенно важно для компаний, работающих с медицинскими, биометрическими и иными чувствительными данными.
Что делать в случае утечки персональных данных
Для предприятия важно заранее предусмотреть алгоритм действий на случай утечки персональных данных или несанкционированного доступа к ним: кто уведомляет регуляторов, как оценивается и ограничивается ущерб, кто анализирует инцидент и внедряет меры по недопущению повторения.
Даже при соблюдении всех правил риск утечки информации сохраняется. В случае инцидента необходимо действовать в следующем порядке.
| Шаг | Описание |
|---|---|
| 1 | Немедленно ограничить доступ к скомпрометированным данным |
| 2 | Зафиксировать факт инцидента (протокол, акты, служебные записки) |
| 3 | Сообщить об утечке в Роскомнадзор в течение 24 часов |
| 4 | Уведомить пострадавших работников, чьи данные были раскрыты |
| 5 | Провести внутреннее расследование и установить причины |
| 6 | Принять корректирующие меры — усилить контроль, пересмотреть систему информационной безопасности |
| 7 | Документировать принятые меры в отчете |
Для предприятия важно помнить! Сокрытие утечки может усугубить последствия и повлечь более серьезные санкции. Российское законодательство требует открытости и готовности устранять последствия.
Вывод
Защита персональных данных работника — это не разовая формальность, а системная обязанность, встроенная в бизнес-процессы компании. Обработка и защита персональных данных работника требует внедрения правовых, технических и организационных мер. Работодатель обязан обеспечить безопасное хранение, своевременное обновление, ограниченный доступ и передачу данных.
Пренебрежение правилами может привести к значительным финансовым и репутационным потерям. Компании, внедрившие действенную систему защиты данных, получают не только соблюдение закона, но и дополнительное доверие со стороны персонала и клиентов.
 16.07.jpg)
.jpg)
.jpg)
