Как бухгалтеру избежать штрафа за нарушения при работе с персональными данными. Как защитить личные данные в интернете

Защита личных данных в сети становится все более трудной задачей с каждым днем. Складывается ощущение, что каждый сайт в интернете хочет собрать о вас самую разнообразную информацию по непонятным причинам. За каждым пользователем в сети следят - это неизбежный факт современной действительности. Однако при этом вы все же можете максимально обезопасить свои персональные данные, если будете знать, как именно это сделать.

Закрывайте свои социальные сети

Когда вы регистрируетесь в социальной сети, то вы тут же подвергаете себя огромному риску, потому что эти сети сейчас крайне популярны. Соответственно, сбор информации с них идет нещадный, и вам ни в коем случае нельзя оставлять свой аккаунт открытым для всех. Пользуйтесь настройками приватности, давайте ограниченный доступ к вашим данным и предоставляйте его только тем людям, с которыми вы знакомы лично и в которых можете быть на сто процентов уверены. Не ленитесь читать все условия соглашений и варианты опций, потому что там всегда можно найти что-нибудь, что позволит сторонним людям на законных основаниях собирать о вас все персональные данные.

Используйте безопасный браузер

Компания «Майкрософт» уже продемонстрировала, что является самой желанной целью всех кибер-атак, поэтому не рекомендуется пользоваться их браузером. Выбирайте более надежные альтернативы, такие как Google Chrome или Mozilla Firefox, которые могут защитить вас от вторжения в вашу приватную зону в интернете. Для этого вам нужно полностью заблокировать всплывающие окна, настроить оповещения при попытке зайти на небезопасный сайт, заблокировать передачу данных и куки третьим сторонам и различным рекламным сервисам, а самое главное - везде при возможности выбирать опцию «Не отслеживать» - это заблокирует для сайтов возможность сбора вашей персональной информации.

Злоумышленники каждый день крадут персональные данные знаменитостей и обычных пользователей. Недавно взломали аккаунты кандидата в президенты США Хилари Клинтон, замминистра энергетики России Антона Инюцына, журналиста Дмитрия Киселёва.

Многие думают, что их данные преступникам не интересны, но опыт показывает, что известность не влияет на желание злоумышленников заполучить чужие персональные данные и извлечь из них выгоду. Мы рассмотрели самые популярные сценарии, в которых ваши данные находятся под угрозой, и расскажем, что делать, чтобы сохранить личную информацию в тайне.

Где поджидает опасность?

Электронная почта

Электронная почта больше чем просто почтовый ящик. Вы используете её для регистрации на большинстве сайтов и сервисов, а значит, получив доступ к почте, злоумышленники смогут взломать и другие ваши аккаунты.

Никто не отменял и угрозу тайне переписки, хранящимся в диалогах документам. Если это рабочий ящик, то к хакерам может попасть закрытая корпоративная информация. И тогда взломанная электронная почта будет не только вашей проблемой - под угрозой окажется безопасность всей переписки в компании.

Аккаунты в игровых сервисах

Миллионы людей играют в World of Tanks, DOTA 2, Counter Strike: Global Offensive или FIFA, используют Origin, Steam, Xbox Live, PlayStation Network и другие игровые сервисы.

Пользователи зарабатывают игровой опыт, внутриигровую валюту, покупают за реальные деньги вещи для игрового инвентаря, сами игры. Взломав ваш игровой аккаунт, злоумышленники украдут купленные лицензионные игры, игровой инвентарь и предметы - и получат за них реальные деньги.

Социальные сети и мессенджеры

Социальные сети и мессенджеры - лучшие объекты для мошенников, если они хотят поживиться интимными подробностями вашей жизни. У всех есть скелеты в шкафу, но это не значит, что они должны стать достоянием общественности. Если вы грамотно не защитили свой аккаунт, то беда может случиться когда угодно.

Цифровая кража смартфона

У всех современных смартфонов есть основная учётная запись: для iOS это Apple ID, для Android - аккаунт Google. Если злоумышленники получат к ним доступ, ценная информация о вас и вашем смартфоне окажется в их руках.

В прошлом году стала известна история о мошеннике, который обманным путём получал доступ к Apple ID, блокировал телефон жертвы и требовал денег за разблокировку. Такое часто случается и при покупке смартфонов, когда недобросовестный продавец продаёт вам, по сути, кирпич, которым нельзя пользоваться, не введя пароль к взломанной учётной записи.

Мобильные приложения и игры

Программы, устанавливаемые из App Store, Google Play или Windows Marketplace, запрашивают доступ к данным: вашим контактам, геопозиции, календарю, платёжным данным. Каждый раз внимательно читайте, к какой информации запрашивает доступ приложение или игра. К примеру, зачем игре-головоломке знать ваше местоположение и для чего конвертеру величин нужен ваш календарь?

Банковские данные

Форма оплаты банковской картой

Сейчас банковскими картами расплачиваются не только в обычном супермаркете: картой оплачивают коммунальные услуги через интернет-банк и покупки в онлайн-магазинах, с помощью карты бронируют авиабилеты и гостиницы. Но подумайте, где вы оставляете свои данные?

Незащищённая Wi-Fi-точка

Wi-Fi - счастье для путешественника и фрилансера. Но злоумышленники пользуются незащищённостью открытых точек и неосторожностью пользователей. Кстати, хакеры подбираются и к запароленным точкам. А там уже дело техники: подключились к Wi-Fi, и всё, что вы делаете на экране и вводите на клавиатуре, видит злоумышленник.

Важно понимать, какую информацию и кому вы доверяете. Нет проблемы в том, чтобы доверить свою почту компании Google. Но если доступ к этой же почте просит малознакомое приложение, то давать такой доступ опасно не только из-за отсутствия сведений о хорошей репутации сервиса. Злоумышленники могут взломать само приложение и тем самым получить доступ к информации даже без необходимости взламывать ваш Google-аккаунт.

Как защитить данные?

Как видите, проблема безопасности в интернете становится актуальнее, чем когда-либо. Везде есть риск попасться на удочку киберпреступников. Мы расскажем об основных способах защиты персональных данных, которые обязательно стоит применять на практике.

Двухфакторная аутентификация

Звучит непонятно, но на деле всё просто: это двойная защита, первый рубеж которой - обычная комбинация логина и пароля, то есть то, что хранится на сервере, а второй - то, к чему есть доступ только у конкретного пользователя. Мы рассказывали о двухфакторной аутентификации, среди которых SMS-пароли, приложения-аутентификаторы и аппаратные токены.

Простой пример: вы вводите логин и пароль от интернет-банка, после на телефон приходит специальный SMS-код. Это и есть двухфакторная аутентификация.

Двухфакторная аутентификация поддерживается в сервисах Google, Microsoft, Facebook, «ВКонтакте», и других. Это необходимая мера для защиты данных, поэтому обязательно включите двухступенчатую защиту во всех учётных записях. Если же какой-то сервис её не поддерживает, это серьёзный повод перестать им пользоваться.

Для чего подойдёт:

Защищённое соединение

Ещё в 2008 году мы писали, что почтовыми сервисами стоит пользоваться только с защищённым соединением. Спустя 8 лет этот совет стал только актуальнее. Благо большинство социальных сетей научилось работать с HTTPS-протоколом, на него же перешли интернет-банки и платёжные сервисы.

Совершая покупки и другие потенциально опасные действия, обратите внимание на значок слева от адресной строки. Убедитесь, что работаете с сайтом по зашифрованному соединению.

Если же работать с защищённым соединением нельзя, можно использовать специальные сервисы, например Disconnect.me . Он перенаправляет пользователя на HTTPS-версию сайта.

Ещё одно приложение, которое автоматически перенаправляет вас на HTTPS-версию, - HTTPS Everywhere. Есть расширения для самых популярных браузеров.

Для чего подойдёт: электронная почта, аккаунты в социальных сетях и мессенджерах, игровые аккаунты, аккаунт для смартфона, интернет-банк.

Менеджеры паролей

«Придумайте сложный пароль» - это советуют в каждой статье по защите личных данных. Но вряд ли вы придумаете пароль сложнее, чем пароль, сгенерированный специальным сервисом, а даже если придумаете, то где вы будете его хранить: в голове, на листочке?

Можно же менять пароль почаще, скажете вы. Но буквально несколько недель назад специалисты Центра правительственной связи Великобритании разъяснили, почему .

Есть специальные менеджеры паролей, которые берут головную боль на себя. Они сами генерируют сложные пароли, хранят их в защищённом хранилище, а вам не нужно помнить о пароле к конкретному сайту - приложение само подставит его в нужное поле. Самые популярные сервисы: 1Password, LastPass, Enpass.

Контролируйте доступ приложений к вашим данным

Управление доступом приложения Instagram в iOS 9

Пользователи iOS, а с недавних пор и , могут управлять доступом приложений к различным данным. Не поленитесь и проведите ревизию: проверьте, к какой информации есть доступ у установленных приложений и игр. Если какие-то запросы на доступ вызывают подозрение - отключайте.

Для чего подойдёт: мобильные приложения.

Пользуйтесь VPN, работая с публичными Wi-Fi-точками

Работая в кафе и других общественных местах с Wi-Fi, пользуйтесь VPN-сервисом. Он перенаправит трафик на собственный сервер, а вам отдаст уже «очищенный», который не могут отслеживать злоумышленники. Помните, что доступ по паролю не гарантирует безопасности.

Мы рассказывали о для браузера Google Chrome. Недавно VPN встроила в свои браузеры компания Opera. Не пропустите и подробный гид по , который составил сайт That One Privacy Guy.

Для чего подойдёт: открытые Wi-Fi-точки.

Заключение

Как видите, ваши персональные данные подвергаются риску каждый день. Кратко резюмируем наши советы по защите личной информации в Сети.

Включите двухфакторную авторизацию на всех сайтах и сервисах.
Работайте с защищённым соединением или пользуйтесь программами для шифрования трафика.
Используйте менеджеры паролей. Не меняйте пароль слишком часто.
Следите, как мобильные приложения используют личные данные.
Пользуйтесь VPN, работая с открытыми Wi-Fi-точками.

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей. Однако для контролирующих органов размер компании и количество работников значения не имеют. Причем, в случае выявления нарушений реальные штрафы грозят не только организации или ИП, но и лицу, ответственному за обработку персональных данных. А им зачастую является бухгалтер. Давайте попробуем разобраться, насколько серьезны штрафы и что должны делать бухгалтеры или кадровики, чтобы их избежать.

Штрафы и проверки

На первый взгляд, штрафы за нарушение правил работы с персональными данными не так уж и высоки. Согласно статье 13.11 КоАП РФ штрафы составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее должностного лица.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Ответственность организации

Кроме того, если в компании не утверждено Положение о персональных данных, то возможно наступление административной ответственности за нарушение трудового законодательства по статье 5.27 КоАП РФ. Штраф может составить от 30 до 50 тыс. рублей. Также возможно административное приостановление деятельности на срок до девяноста суток. Кстати, с 2015 года штраф за повторное нарушение, предусмотренное данной статьей, составит уже от 50 до 70 тыс. рублей.

Соблюдение законодательства о персональных данных контролирует Роскомнадзор. За невыполнение предписания Роскомнадзора об устранении нарушений законодательства о персональных данных возможен административный штраф до 20 000 рублей ( КоАП РФ). Если же просто не ответить на запрос этого органа касательно персональных данных, то штраф может составить до 5 000 рублей ( КоАП РФ).

Ответственность работника

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен ( ТК РФ):

к административной ответственности
к дисциплинарной и материальной ответственности;
к гражданско-правовой ответственности;
к уголовной ответственности.

Административная ответственность

Персональные данные относятся к информации, доступ к которой ограничен. Поэтому за разглашение персональных данных ответственный работник может быть оштрафован на сумму от 4 до 5 тыс. рублей ( КоАП РФ «Разглашение информации с ограниченным доступом»).

Должностных лиц также можно привлечь к ответственности и за отсутствие утвержденного Положения о персональных данных. В этом случае штраф за нарушение трудового законодательства составит от 1 до 5 тыс. рублей. За повторное нарушение с 2015 года штраф составит от 10 до 20 тыс. рублей или дисквалификация на срок от одного года до трех лет ( КоАП РФ).

Дисциплинарная ответственность

Трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной в связи с исполнением трудовых обязанностей. В том числе и по причине разглашения персональных данных другого работника (подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

В случае незаконного распространения информации о персональных данных работнику организации может быть причинен моральный вред. Работник может потребовать его возмещения от работодателя. Если вред был причинен по вине лица, ответственного за неразглашение данных, то работодатель впоследствии может привлечь виновного к материальной ответственности за нанесенный ущерб.

Гражданско-правовая ответственность

Если в результате нарушения норм, регулирующих хранение, обработку и использование персональных данных работнику причинен имущественный ущерб или моральный вред, то он подлежит возмещению в денежной форме в соответствии гражданским законодательством ( ГК РФ).

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности на основании статьи 137 УК РФ.

Проверки

Как уже говорилось выше, ведомством, которое уполномочено контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор). Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ). Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Официальная информация

В 2013 году в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства в области персональных данных проведено 2 418 проверок (еще в 2011 году таких проверок было значительно меньше — 1 743 проверки). Из них 1 801 плановая и 617 внеплановых проверок.
В 2013 году рост количества плановых проверок был связан, прежде всего, с увеличением количества операторов, отказывавшихся выполнять требования Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» ввиду неосуществления, по их мнению, деятельности по обработке персональных данных.

Положение о персональных данных

Теперь попробуем выяснить, что же требуется сделать, чтобы успешно пройти проверку Роскомнадзора и избежать штрафов.

Вопросы обработки персональных данных регулируются Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Соблюдать требования этого закона должны все организации и ИП, у которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от физических лиц, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Главным документом, который должен иметь любой работодатель, является положение о персональных данных. Принять этот локальный акт, регулирующий порядок хранения и использования персональных данных работодателя обязывает Трудового кодекса. В положении обычно прописывают все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.
На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных». В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (см. образец « »). А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций). При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника. Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т п.

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным органам или лицам. В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством. Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам КоАП РФ) и, если есть такая необходимость Уголовного кодекса (ст. 137 УК РФ).
Положение о персональных данных можно разработать, взяв за основу разработанный нашим юристом образец « ».

Однако кроме положения контролирующие органы в ходе проверок интересуются и другими документами. Назовем некоторые из них.

Приказ руководителя о назначении ответственного

Руководитель должен издать приказ о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (см. образец « »), так и подразделение (см. образец «). В последнем случае личную ответственность несет руководитель такого подразделения.

Перечень персональных данных

Также потребуется утвердить документ, содержащий перечень персональных данных (см. образец « »), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

заявление о приеме на работу;
анкета сотрудника;
личная карточка;
личное дело;
трудовой договор;
приказы;
трудовая книжка;
материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Журнал учета персональных данных

Работодатели обязаны соблюдать режим конфиденциальности персональных данных ( Закона № 152-ФЗ). В подтверждение того, что названное требование соблюдается, контролирующие органы могут потребовать представить журнал учета персональных данных, где указано, кто и когда имел доступ к конфиденциальной информации. Заметим, что форма такого журнала не установлена, поэтому разработать ее требуется самостоятельно.

Внешняя и внутренняя защита персональных данных

Угрозы для хранящихся персональных данных, условно, можно разделить на внешние и внутренние.

Если говорить о защите от внешних угроз, то в локальных актах имеет смысл прописать особый режим доступа в помещения, где хранится информация, содержащая персональные данные. В частности, можно предусмотреть пропускной режим и контроль за посетителями офиса.

Что же касается внутренней защиты, то целесообразно регламентировать состав работников, обязанности которых требуют доступа к персональным данным. Конкретный перечень работников и случаи получения информации следует утвердить приказом или распоряжением (в котором оговорить, что, например, юристы компании могут получать персональные данные для оформления доверенностей).

Возможное решение

Очевидно, что решение вопросов, касающихся персональных данных, может отнимать у бухгалтера очень много времени: требуется изучить весьма объемный закон и понять, какие действия надо совершить, какие документы составить, найти примерные образцы этих документов, скорректировать и заполнить их.

Если учесть, что общее количество документов и действий по обработке данных исчисляется десятками, можно представить, сколько времени и сил потребуется бухгалтеру, чтобы организовать работу с персональными данными в соответствии с требованиями закона.

Сэкономить время и сосредоточиться на своей основной работе можно с помощью веб-сервиса « ». Он автоматически формирует все необходимые приказы, акты, уведомления и положения, необходимые для работы с персональными данными. Вопросы, возникающие в ходе совершения действий, бухгалтер прямо со страницы сервиса может задать эксперту и получить оперативный ответ. Когда все действия завершены, остается только распечатать подготовленные сервисом документы и подписать их. Впоследствии сервис будет напоминать, что пора провести определённое мероприятие, закреплённое в комплекте документов, а также следить за изменениями законодательства и информировать о том, что надо сделать после вступления поправок в силу.

Год работы в сервисе с данными одной организации или ИП стоит 6 тысяч рублей. Однако часть необходимых документов бухгалтер может подготовить в «Персональных данных» бесплатно. Для этого достаточно пройти по ссылке, которую вы видите чуть ниже.

Возможно, будет полезно почитать: