1с предприятие защита персональных данных. Комплект поставки ЗПК включает

29 мая 2014 года в Москве в «1С:Лектории» (Москва, ул. Селезневская, 34) состоялась лекция . Наши читатели, которые не могли посетить лекцию, присылали свои вопросы в рамках одноименной интернет-конференции. В ходе мероприятия Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора и Ирина Баймакова, эксперт фирмы «1С» ответили на вопросы о защите персональных данных, а также проанализировали основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий.

Пользователь kot : 1С:Предприятие 8.2z для малых и средних предприятий. Медицина, Бюджетники, Военные...? Для кого и чего нужна эта платформа? В пользовательском режиме это должно зарываться правами доступа. От стороннего подключения средствами СУБД?

Уже как 4 года гадаю, что это простая выкачка денег по аналогии "проблемы 2000 года". Когда приходил, запускал на компьтере программку, она что-то делала, ты говорил что все нормально и тебе платили.

Ирина Баймакова : Требования Федерального закона "О персональных данных" касаются любых операторов персональных данных, т.е. любых организаций в которых обрабатываются персональные данные. Да, действительно, требования по защите ПДн в зависимости от категории данных и их объема могут существенно различаться.

: Что такого особенного в версия 8.2z? Почему именно в ней персональные данные защищены и что не так в плане защиты персональных данных в других версиях восьмерочных программ?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет. Доработки, сделанные с учетом требований ФСТЭК России, реализованы как обычной, так и сертифицированной версии технологической платформы.

Использование ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить требование, предусмотренное статьей п. 2 статьи 19 Федерального закона "О персональных данных" в части обязательности применения средств защиты информации, прошедших оценку соответствия, в отношении персональных данных, обрабатываемых с использованием программных продуктов 1С.

Незарегистрированный пользователь : Не очень представляю, как программа может стать панацеей в области защиты персональных данных. А как же пресловутый человеческий фактор? Ведь в программе работают люди.

Ирина Баймакова : В данном случае нельзя говорить, что программа является панацеей. Защищенный программный комплекс "1С:Предприятие, версия 8.2z" - один из "кирпичиков", который позволяет выстроить систему защиты информации и обеспечить соблюдение требований действующего законодательства РФ в области защиты персональных данных.

Незарегистрированный пользователь : Бывали ли случаи утечки данных защищенных 1с?

Ирина Баймакова : Такие данные у меня отсутствуют.

Незарегистрированный пользователь : Несет ли какую либо ответственность 1С за утрату данных и их утечку?

Ирина Баймакова : Ответственность за утрату данных возложена на оператора персональных данных.

Незарегистрированный пользователь : Кому необходимо применять ЗПК «1С:Предприятие, 8.2z»? Что входит в комплект поставки ЗПК?

Ирина Баймакова

В комплект ЗПК "1С:Предпрятие, версия 8.2z" входят дистрибутив технологической платформы, формуляр, документация.

Незарегистрированный пользователь : Какие другие программные продукты можно использовать с целью защиты персональных данных?

Ирина Баймакова : На рынке представлено значительное количество средств защиты информации. Необходимость применения того или иного продукта зависит от выявленных актуальных угроз и требований по защите персональных данных у конкретного оператора.

Незарегистрированный пользователь : Какие главные потенциальные опасности Вы видите для персональных данных? Что именно гарантирует или исключает защита?

Юрий Контемиров : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь. Гарантировать действительную защиту ПДн можно только при комплексном подходе к организации защиты информации, уделяя особое внимание "человеческому" фактору.

Незарегистрированный пользователь : Как Вы считаете, часто ли малые компании сталкиваются с утечкой бухгалтерских данных?

Юрий Контемиров : Информация по данному вопросу, к сожалению, у меня отсутствует.

Незарегистрированный пользователь : А почему "1С:Предприятие 8.2z" называется защищенным? В чем его принципиальное отличие от других продуктов?

Ирина Баймакова : В данном случае "защищенный" - это название, т.е. проверенный испытательной лабораторией на отсутствие недекларированных возможностей и соблюдение иных требований, определенных ФСТЭК России.

ЗПК "1С:Предприятие, версия 8.2z" - это специальный продукт для обеспечения требований действующего законодательства о персональных данных организациями и предпринимателями, применяющими программные продукты 1С.

Пользователь Kaufen : Организация закупила ЗПК "1С:Предприятие 8.2z". В чем основные отличия платформы от 1С:Предприятие 8.2, кроме наличия сертификата ФСТЭК? Кто-то сталкивался с такой платформой?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированной версия технологической платформы 1С:Предприятие 8.2. Функциональных отличий между сертифицированной версией и обычной нет.

Основным отличием является, то что сертифицированный релиз проверен испытательной лабораторией и подтверждает соответствие приведенным в сертификате требованиями, а также содержит контрольные суммы, приведенные в формуляре ЗПК "1С:Предприятие, версия 8.2z".

Незарегистрированный пользователь : У нас бюджетное учреждение. Есть ли модификация ЗПК "1С:Предприятие 8,2z" специально для бюджетников и сколько стоит версия с сопровождением?

Ирина Баймакова : ЗПК "1С:Предприятие, версия 8.2z" - сертифицированная версия технологической платформы 1С:Предприятие 8.2, которая может быть использована с любыми типовыми конфигурациями, в том числе для бюджетных учреждений (напр. "1С:Зарплата и кадры государственного учреждения", "1С:Бухгалтерия государственного учреждения").

Порядок продажи и обновления ЗПК 1С:Предприятие версия 8.2z" определен в инфописьме фирмы 1С № 12891. Ознакомиться можно по следующей ссылке -http://1c.ru/news/info.jsp?id=12891

Незарегистрированный пользователь : В анонсе лекции и интернет-конференции говорится про основные ошибки, выявляемые Роскомнадзором в ходе осуществления контрольных мероприятий. Хотелось бы узнать об этом подробнее, какие ошибки чаще всего выявляет ведомство?

Юрий Контемиров : Наиболее типичные нарушения законодательства, выявляемые в ходе контрольных действий Роскомнадзора, отражаются в ежегодных отчетах, публикуемых на сайте ведомства.

Незарегистрированный пользователь : Расскажите, пожалуйста, о сертификации ЗПК «1С:Предприятие, версия 8.2z».

Ирина Баймакова : Вопросы о целях, порядке, результатах сертификации, проведенной фирмой "1С", подробно рассмотрены и изложены на сайте buh.ru, в том числе в статье "Сертификация программ с целью соответствия законодательству по защите персональных данных" о первичной сертификации 2010 года и в статье "Защита персональных данных - из 2011 в 2013 или изменения длиной в два года" о сертификации, проведенной в 2013 году и продлении сертификата.

Незарегистрированный пользователь : Нужны ли, на ваш взгляд, новые меры для предотвращения утечки персональных данных и повышения уровня их защиты? Если нужны, то какие?

Юрий Контемиров : Для предотвращения утечек персональных данных важен разумный комплексный подход и особое внимание должно быть уделено "человеческому" фактору.

Незарегистрированный пользователь : Есть ли смысл пользоваться ИП и малым предприятиям подобными программными продуктами?

Ирина Баймакова : В соответствии с подп. 3 п. 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации является одной из мер по обеспечению безопасности персональных данных при их обработке.

Согласно требованиям Постановления Правительства от 01.11.2012 № 1119 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации обязательно, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Таким образом, определить необходимость или отсутствие необходимости применения средств защиты информации, прошедших оценку соответствия, в том числе ЗПК "1С:Предприятия, версия 8.2z" можно на основании модели угроз.

Применение ЗПК "1С:Предприятие, версия 8.2z" позволяет выполнить с наименьшими затратами требования действующего законодательства, описанные выше, а также ряд требований, предусмотренных Приказом ФСТЭК России от 18.02.2013 № 21.

Незарегистрированный пользователь : Какие неблагоприятные последствия может иметь утечка данных? Например, для ИП без наемных работников.

Ирина Баймакова : Основной опасностью является утечка и незаконное распространение персональных данных, что может повлечь негативные последствия для человека, вторжение в его личную жизнь.

Если у ИП нет наемных работников, а, соответственно, не осуществляется обработка ПДн ни работников, ни иных физических лиц, то в данном случае предполагать возможную утечки ПДн вряд ли возможно.

Защищенный программный комплекс "1С:Предприятие 8.3z" (x86-64). Вариант 64-х разрядный.

В состав входит сертифицированная версия технологической платформы "1С:Предприятие 8.3" и комплект документации.

"1С:Предприятие 8.3z" сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и имеет сертификат соответствия № 3442 (выдан ФСТЭК России 2 сентября 2015 года). Согласно сертификату, изделие соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) – по 4 уровню контроля, руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) – по 5 классу защищенности при выполнении указаний по эксплуатации, приведенных в разделе 12 формуляра, входящего в комплект изделия.

Сертифицированные экземпляры платформы маркированы знаками соответствия с № К 605432 по К 615431.

Все конфигурации, разработанные на платформе "1С:Предприятие 8.3" (например "1С:Управление производственным предприятием" или "1С:Зарплата и управление Персоналом 8" и др.), могут быть использованы при создании информационной системы персональных данных любого класса и дополнительная сертификация прикладных решений не требуется.

Цели и порядок применения защищенного программного комплекса "1С:Предприятие, версия 8.3z"

Защищенный программный комплекс "1С:Предприятие, версия 8.3z" может применяться для обеспечения безопасности персональных данных в соответствии Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, в информационных системах персональных данных всех уровней защищенности. ЗПК "1С:Предприятие, версия 8.3z" может быть использован как в организациях, являющихся оператором персональных данных и обрабатывающих персональные данные самостоятельно, так и в организациях, оказывающих услуги по ведению ИСПДн нескольких операторов. ЗПК "1С:Предприятие, версия 8.3z" может использоваться как при обработке информации для одного юридического лица или предпринимателя, так и для группы компаний (холдинга).

Порядок продажи программного продукта Защищенный программный комплекс "1С:Предприятие, версия 8.3z"

Приобретать ЗПК "1С:Предприятие, версия 8.3z" разрешается только в дополнение к зарегистрированным программным продуктам системы "1С:Предприятие", в том числе к продуктам "1С-Совместно".

Если для продукта, к которому приобретается ЗПК "1С:Предприятие, версия 8.3z", введено обязательное обслуживание по линии информационно-технологического сопровождения (ИТС), то у зарегистрированного пользователя на момент приобретения ЗПК должна быть оформлена подписка на ИТС.

Комплект поставки ЗПК включает:

непосредственно дистрибутив сертифицированной платформы на диске;
наклейку ФСТЭК России;
формуляр с контрольной суммой;
регистрационную карточку защищенного продукта;
спецификацию;
описание программы;
описание применения;
копию сертификата ФСТЭК.

ОБРАЩАЕМ ВНИМАНИЕ:

ЗПК "1С:Предприятие, версия 8.3z" может быть использован только при наличии имеющихся лицензий и ключей защиты в составе ранее приобретенных программных продуктов "1С:Предприятие 8";

использование ЗПК "1С:Предприятие, версия 8.3z" не требует переоформления ранее приобретенных лицензий;

КЛЮЧИ ЗАЩИТЫ В СОСТАВ ПОСТАВКИ ЗПК "1С:Предприятие, версия 8.3z" НЕ ВХОДЯТ

Порядок обновления защищенного программного комплекса

Фирмой "1С" на систематической основе будет проводиться сертификация вновь выпускаемых релизов ЗПК "1С:Предприятие, версия 8.3z". С целью получения обновлений сертифицированной платформы фирма "1С" вводит плату за ежегодное обслуживание.

Предусмотрен следующий способ получения обновления: самостоятельная подписка на 6 или 12 месяцев на сайте http://www.online.1c.ru для получения обновлений в электронном виде (информация на сайте размещается по мере выхода обновлений);

Плата за обслуживание в течение одного года (первого года) с момента отгрузки со склада "1С" сертифицированной платформы не взимается.

В комплект материалов обновлений будут входить содержащие актуальную информацию по организации защиты персональных данных методическое пособие и разъяснения.

Стоимость платной подписки: Обновление ЗПК "1С:Предприятие 8.3z"(ОНЛАЙН подписка) на 6 месяцев, и 12 месяцев можно уточнить у менеджера нашей организации.

Если для продукта, к которому приобретается ЗПК, введено обязательное обслуживание по линии информационно-технологического сопровождения (ИТС), то у зарегистрированного пользователя на момент приобретения обновления ЗПК "1С:Предприятие, версия 8.3z" должна быть оформлена подписка на ИТС.

Учет персональных данных – важная составляющая в работе каждой организации. Будь то крупное предприятие или маленькая организация, все они ведут учет клиентов, поставщиков, и в первую очередь своих сотрудников, учитывая и сохраняя персональные данные каждого из них. Таким образом, организация возлагает на себя обязательство за конфиденциальность и сохранность предоставленной ей информации.

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» закрепляет уровень ответственности организаций нормативными актами. В вышеуказанном законе прописано: «лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

1 января 2011 года данный закон претерпел некоторые изменения. В него внесены поправки, появилось несколько новых положений. Согласно одного из основных положений данного закона, все пользователи программ «1С» должны привести в соответствие с требованиями настоящего Федерального закона все информационные системы персональных данных, которые были созданы до 1 января 2010 года.

С начала прошлого года значительно возросли и взыскания с операторов, допускающих нарушения при обработке персональных данных. Информационные системы компаний регулярно подвергаются проверке со стороны соответствующих контролирующих органов власти. В случае обнаружения нарушений, в частности, что сохранность персональных данных не стопроцентная, компании не миновать штрафных санкций.

Как усилить безопасность? Ответ есть.

Для начала попытаемся разобраться, какие трудности могут возникнуть у компаний, сохраняющих персональные данные сотрудников и клиентов.

Итак, первое. Отталкиваясь от норм законодательства, сделаем первые шаги по защите персональных данных, и выполним ряд технических и организационно-распорядительных мероприятий. С учетом уровня развития информационной системы, защищенности доступа к ней пользователей, а также третьих лиц, выстроим индивидуальный комплекс безопасности.

Второе. Вероятно, вам придется пройти сертификацию вашего программного обеспечения (ПО), которое является средством защиты данных (в том случае, если оно еще не сертифицировано). Подскажем, проводят сертификацию уполномоченные операторы (к примеру, ФСТЭК). Программное обеспечение подвергается глубокому исследованию с широким всесторонним анализом, от исполнительного кода до исходных текстов программ. Анализируется уровень контроля не декларированных возможностей ПО.

Как бы сложно и громоздко ни звучало все вышеперечисленное, есть еще несколько важных факторов, влияющих на успешную работу любой организации. Обязаны вы или нет сертифицировать свое программное обеспечение? Все зависит и от класса информационной системы по обработке персональных данных. Всего существует четыре класса систем. Обязательна сертификация только для первого класса, нужна ли она для второго и третьего класса – это определяет специалист-оператор. Информационная система четвертого класса не требует сертификации.

Главное отличие первого класса – наличие сведений о расовой и национальной принадлежности, о политических взглядах и религиозных убеждений, о состоянии здоровья или интимой жизни. Второй случай по которому вашу ИС возможно причислить к первому классу – это хранение сведений более чем о ста тысячах клиентов и сотрудников. Если вы храните анкетные данные сотрудников, или информацию о больничных листах – то ваша система относится к первому классу!

Быть во всеоружии!

Как быть? Можно попробовать сделать все самостоятельно, запастись неистовым терпением, погрузиться в законодательные дебри и героически через них пробираться. Кропотливо изучать юридические и технические термины. И в случае удачи вы поймете, что же теперь делать со своей информационной системой. Тонкостей и вопросов в этом деле будет немало. Например, что делать, если система не проходит сертификацию, срочно менять ее, или оставить? Какое именно программное обеспечение сертифицировать и что такое «не декларированные возможности программного обеспечения»? Голова кругом, а ответов на волнующие вопросы все еще нет?..

Попробуем помочь. Итак, не декларированные возможности? Это означает, что есть возможность «скачать» информацию из вашего программного обеспечения способом, не указанным в его документации.

Сертификации подвергается программное обеспечение, используемое для хранения персональных данных ваших клиентов и сотрудников. Пользуетесь Excel или Word – значит сертифицируйте данные программы. Если вы используете специализированное обеспечение – подвергайте сертификации его.

Но если вы пользуетесь программами «1С»: храните персональные данные, ведете учет информации в программе на платформе «1С:Предприятие» - можем вас успокоить, у вас все в порядке!

Непробиваемая защита от «1С»!

Фирма «1С» не оставляет своих клиентов наедине с проблемами, возникающими из-за нововведений в законодательстве. Совсем недавно компания «1С» выпустила новый продукт – защищенный программный комплекс «1С:Предприятие, версия 8.2z» для защиты информации от несанкционированного доступа к информации. Данный продукт успешно прошел сертификацию ФСТЭК России. Защищенный программный комплекс (ЗПК) «1С:Предприятие, версия 8.2z» утвержден программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа (НСД) к информации, не содержащей сведения, составляющие государственную тайну.

Что немаловажно! Каждый экземпляр ЗПК имеет собственный сертификат. И количество защищенных программных комплексов, которые есть в продаже, ограничено. Так как сертификацию прошло ограниченное количество комплексов.

Защищенный программный комплекс состоит из:

непосредственно дистрибутив сертифицированной платформы;

формуляр с контрольной суммой;

регистрационная карточка защищенного продукта;

спецификация;

описание применения;

тестовая документация;

описание программы;

копия сертификата ФСТЭК России (плюс – наклейка ФСТЭК).

Итак, установка защищенного программного комплекса в компании, позволяет использовать все конфигурации работающие на платформе «1С:Предприятие 8.2» (например, «1С:Зарплата и Управление персоналом 8», «1С:Управление производственным предприятием 8» и др.), при создании информационной системы персональных данных любого класса. Дополнительной сертификации прикладных решений не потребуется, поскольку сертифицирована платформа. Не потребуются и отдельные пользовательские лицензии (ключи).

К тому же, ЗПК «1С:Предприятие, версия 8.2z» поддерживает специальный режим совместимости с версиями 8.0 и 8.1. Это позволяет использовать ее с конфигурациями, разработанными для версий 8.0 и 8.1, без внесения изменений в сами конфигурации. В данном режиме прикладные решения, разработанные на платформе «1С:Предприятие» версий 8.0 и 8.1, можно использовать с платформой версии 8.2 без дополнительной переработки.

Поддержка на 100%

Вы пользователь «1С» и клиент Центра комплексного развития бизнеса компании «1С-Архитектор бизнеса»? Вам повезло вдвойне!

Установку сертифицированного ЗПК «1С:Предприятие, версия 8.2z» произведет у вас высококвалифицированный специалист. Работа будет выполнена качественно и в рамках предлагаемых бесплатных часов (2 часа для 32-разрядной версии и 4 часа для 64-разрядной версии).

При желании дополнительно защитить ваши данные, специалисты помогут вам подобрать и установить соответствующее программное обеспечение.

Вы работаете в линейке продуктов «1С:Предприятие 7.7», несовместимых с ЗПК «1С:Предприятие, версия 8.2z»? Пусть вас это не беспокоит. Наши специалисты обладают немалым опытом по переводу клиентов с «7» на «8»!

Мы готовы прийти к вам на помощь! Вне зависимости от объема и сложности поставленных задач! Будь то полный комплекс работ от правильной организации защищенных линий связи, рабочих мест, серверного помещения и до разработки необходимых должностных инструкций, в том числе соответствующего обучения сотрудников вашего предприятия, которые работают с персональной информацией.

Специалисты Центра комплексного развития бизнеса «1С-Архитектора бизнеса» будут рады оказать вам информационную и техническую поддержку.

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

замечание;
выговор;
увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

Читайте также Время отдыха за сверхурочную работу

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
обязательные работы на срок до 360 часов;
исправительные работы на срок до одного года;
принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
арест на срок до четырех месяцев;
лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
арестом на срок от четырех до шести месяцев;
лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

или предупреждение;
или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом или другими федеральными законами.