Организация работы с персональными данными. Персональные данные: готовы ли вы к проверке

Термины, нюансы и частые заблуждения - в материале от экспертов службы безопасности компании «Онланта » (входит в группу компаний ЛАНИТ).

В закладки

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

Объясняем термины человеческим языком

Главный закон, который регулирует отношения, связанные с обработкой персональных данных - это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Первый термин, который требуется понимать, - персональные данные.

Что такое персональные данные

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, - это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье - персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение - это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик - это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик - это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

Задачка

У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

Правильный ответ - одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ - два.

  1. Компания, в облаке которой размещена база данных интернет-магазина.
  2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

Нюанс

В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами - это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

Методы защиты информации бывают разными.

  • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
  • Техническими - c помощью специализированных средств защиты информации.
  • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Пример

Одно из средств защиты информации - это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да , если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да , если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да , если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров - это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да , если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях - там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Определяем категорию персональных данных

Поздравляем, вы - гордый обладатель звания «оператор персональных данных». Самое важное теперь - понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Категории персональных данных простыми словами:

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные - это данные из СМИ или интернета.

Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

Персональные данные иных видов - сюда входят персональные данные, не вошедшие в указанные выше категории.

Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

Категория, количество, тип угроз - уровень защиты

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты - самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице .

Пример

Больница обрабатывает персональные данные своих пациентов - это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников - это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

Например, всего их - до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных? Персональные данные - это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок - продажа деталей банковских карт; аккаунты в социальных сетях.

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Требования по обработке персональных данных

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

  1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке .
  2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных - это главный юридический документ, который подтверждает законность обработки персональных данных.
  3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

Эксперты службы безопасности компании «Онланта»

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно .

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок - трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий - это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» сервиса autonum.info.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

  1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
  2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
  3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей - это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы - отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».

Администрация компании, решившей обрабатывать персональные данные, должна первым делом уведомить о своих намерениях Роскомнадзор в соответствии с приказом № 706 от 19 августа 2011 года «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерениях) персональных данных» и положений Федерального закона № 152 «О персональных данных» .

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора . Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

Чтобы проблем с Роскомнадзором не возникало, бланк готовится в соответствии с требованиями – пишется от руки или в электронном виде, но на фирменной бумаге юридического лица, с подписью уполномоченного гражданина, указанием контактных данных и перечнем видов ПДн, обработку которых планируется осуществлять.

В России действует следующая классификация:

  • Персональные данные (относящиеся к физическому лицу).
  • Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
  • Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Какие способы обозначил Роскомнадзор?

Роскомнадзор выделил три основных способа обработки информации :

  • Неавтоматизированная обработка сведений конфиденциального характера.
  • Исключительно автоматизированное взаимодействие с передачей данных по сети или без нее.
  • Смешанная обработка персональных данных физических лиц.

Вторая и третья модели обращения с сведениями требуют дополнительного уточнения – какая именно сеть (если вообще предусмотрена) используется для передачи конфиденциальных ведомостей: сеть юридического лица (внутренняя) либо сеть общего пользования Интернет. От указанных выше данных будет зависеть степень защищенность системы и характер угроз.

Законодательные условия

Условиям обработки посвящена . Несоблюдение нижеуказанных условий может стать основанием для санкций со стороны Роскомнадзора, вплоть до отзыва разрешения на работу с ведомостями.

Принципы в организации работы

Определяет несколько основных принципов, которых должны придерживаться операторы на всех этапах работы.

  1. Справедливое и законное основание для сбора и обработки.
  2. Допускаются манипуляции со сведениями для достижения конкретных, заранее указанных целей. Использование ПДн для достижения целей, не совместимых с утвержденными ранее, запрещена.
  3. Базы, содержащие ПДн, собранные с разными целями, не могут быть объединены.
  4. Если в процессе сбора информации оператор получил в распоряжение сведения, не отвечающие целям обработки, он не имеет права их использовать. Намеренное получение избыточных относительно целей данных также недопустимо для оператора.
  5. Оператор берет на себя обязательства по поддержанию точности, достаточности и актуальности. Неполные и неточные данные должны быть отредактированы, уточнены или удалены.
  6. После достижения целей сбора персональной информации физических лиц, сведения должны быть переведены в обезличенную форму или уничтожены оператором.

Справка : Понятие персональных данных в Российской Федерации касается только информации, принадлежащей физическим лицам, юридические лица таких сведений не имеют.

Общий порядок действий


Инструкции

По обеспечению безопасности рабочих мест

  1. Первым делом оператор должен обеспечить изоляцию места, где хранятся ПДн. Согласно положениям профильного закона, ограничение доступа является обязательным условием для организации рабочих мест сотрудников, работающих с ПДн.
  2. Работники, имеющие доступ к ПДн, должны пройти инструктаж по работе с конфиденциальной ведомостями и выполнять функции в соответствии с должностной инструкцией. Кроме этого, сохранность ПДн должна стать личной ответственностью должностных лиц оператора.
  3. Рабочее место необходимо оборудовать так, чтобы свести к минимуму возможность просмотра конфиденциальной информации третьими лицами (это следует учитывать при планировке). Стеллажи с документами стоит размещать вдоль стен, желательно, чтобы сотрудник, ответственный за обработку, имел возможность видеть их как можно чаще.
  4. В месте обработки желательно установить сейф для хранения.
  5. Если обработкой занимается несколько человек, столы следует устанавливать на расстоянии от 1,2 метра, дабы исключить случайное прочтение ПДн, или воспользоваться искусственными перегородками, высотой 1,5-2 метра.
  6. Сотрудника желательно обеспечить специализированным инструментарием (лотками для корреспонденции) для эффективного использования свободного пространства на столе.

По хранению информации

При обработке важно придерживаться принципов и условий работы с такой информацией.


Как видите, при работе с персональными данными следует придерживаться принципов, указанных в ФЗ «О Персональных данных» и распоряжениях Роскомнадзора. Первым делом оператор должен зарегистрироваться у регулятора, затем разработать документацию по работе с ПДн и только затем начинать обработку, придерживаясь принципов и правил.

В соответствии с ч. 2 ст. 85 ТК РФ обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения столичной безопасности, а также контроля количества и качества выполняемой им работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).

Согласно п. 3 ст. 3 Федерального закона «О персональных данных» обработка персональных данных — это действия (операции) с персонатьными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Следует иметь в виду, что независимо от количества перечисляемых в законодательстве функциональных операций правовое регулирование должно охватывать все стадии обработки персональных данных — от получения до уничтожения без каких-либо изъятий и исключений.

К принципам обработки персональных данных указанный Закон относит следующие:

  • законность целей и способов обработки и добросовестность;
  • соответствие целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствие объема и характера обрабатываемых данных, способов обработки целям их обработки;
  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, не имеющих отношения к целям, заявленным при сборе данных;
  • недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Обработка персональных данных работника начинается с их получения. По общему правилу все персональные данные следует получать у самого работника. В исключительных случаях, когда персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ). Однако персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни работодатель не имеет права получать и обрабатывать (п. 4 ст. 86 ТК РФ). Также работодатель не может запрашивать информацию о состоянии здоровья работника, если это не относится к решению вопроса о возможности выполнения работником трудовой функции (ст. 88 ТК РФ).

Отдельные требования ТК РФ предъявляет к организации и технологии обработки персональных данных работодателем. Обязанность ознакомления работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, предполагает необходимость разработки и принятия соответствующего локального нормативного правового акта. Такой акт в зависимости от специфики деятельности и усмотрения работодателя может именоваться положением или инструкцией и, как правило, включает следующие разделы:

  • основные понятия и положения;
  • обработка персональных данных работника;
  • формирование персональных данных работника;
  • учет, хранение и передача персональных данных работника;
  • права и обязанности работника в области обработки и защиты его персональных данных.

Такой локальный нормативный правовой акт определяет режим конфиденциальности (ограниченного доступа) персональных данных работника у определенного работодателя. Сотрудники работодателя, получающие персональные данные работника, обязаны соблюдать этот режим, о чем необходимо указать не только в их должностных инструкциях, но и в заключаемых с ними трудовых договорах. Положение (инструкция) о защите персональных данных является основным документом, отражающим специфику обработки и передачи персональных данных работника в пределах конкретной организации, у определенного индивидуального предпринимателя. В случае наличия в рамках этой деятельности автоматизированной составляющей работодатель не имеет права принимать в отношении работника решения, основанные на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения (п. 6 ст. 86 ТК РФ). Работодатель может не ограничиваться принятием положения о защите персональных данных работников в своей организации. Однако наличие этого локального акта является обязательным, а его отсутствие рассматривается государственной инспекцией труда как серьезное нарушение трудового законодательства.

За это и другие нарушения норм, регулирующих получение, обработку и работника, работодатель может привлекать виновных лиц к материальной, дисциплинарной ответственности, а соответствующие государственные органы — к гражданско-правовой, административной и уголовной.

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста


Определяемся с понятием.

Уже более 3 лет российское законодательство при обработке персональных данных работников стоит на страже неприкосновенности частной жизни, семейной и личной тайны, и следит за обеспечением защиты свобод и прав гражданина и человека. Для это было принято довольно много нормативные акты, которые обязывали обеспечить безопасность персональных данных, взаимодействуют с которыми не только физические и юридические лица, но и разные органы власти. К наиболее важным нормативным актам можно отнести:

  • Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
  • Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687);
  • Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 781).

На заседании Госдумы в декабре 2009 года в третьем чтении был принят законопроект N 284213-5 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных". В соответствии с этими изменениям из Закона были исключены требования, касающиеся использования криптографических средств защиты персональных данных. Согласно ст. 25 Закон о персональных данных все информационные системы персональных данных, которые были созданы до вступления данного Закона в силу, необходимо было не позднее 1 января 2010 года привести в соответствие с требованиями действующего законодательства. А в законопроекте же предлагалось продлить срок до 1 января 2011 года.

Но как эти изменения относятся к кадровой службе? Что нового содержится в данном Законе и Постановлениях, чего нет в гл. 14 Трудового кодекса РФ? Во-первых, все эти документы определяют порядок работы с персональными данными, а также уточняют и расширяют нормы права, которые приведенные в Трудовом кодексе РФ. Во-вторых, они определяют правила по обеспечению безопасности работы с персональными данными.

Предлагаем разобраться в этом детальнее. При использовании персональных данных работников, для определения объема работ, следует отталкиваться от ключевых понятий, таких как "персональные данные" и "обработка персональных данных".

Согласно Трудовому кодексу РФ персональные данные работников – это информация, касающаяся конкретного работника и тесно связанная с трудовыми отношениями, которая необходима каждому работодателю. А согласно Закону о персональных данных, в котором уточняется и расширяется это понятие, к персональным данным может относиться любая информация, касающаяся определенного или определяемого на основании такой информации физического лица (т.е. субъекта персональных данных), в том числе его имя, фамилия, отчество, дата и место рождения, адрес проживания, образование, профессия, социальное, семейное, имущественное положение, доходы и другая информация. Таким образом, любой работодатель, заключивший трудовой договор с работником, получает всю необходимую информацию, которая относится к персональным данным. Как правила, вся эта информация содержится в следующих, предъявляемых работником при приеме на работу документах. К ним относятся:

  • паспорт;
  • свидетельство о присвоении ИНН;
  • военный билет (если имеется);
  • страховое пенсионное свидетельство;
  • документы об образовании (в том числе и дополнительное образование, если работник представляет их при приёме на работу или это необходимо для выполнения определенных трудовых функций);
  • водительское удостоверении и документы на автомобиль, опять же, если это необходимо в связи с выполнением некоторых трудовой функции работника;
  • справка о прохождении медицинского осмотра (медицинская книжка), если это необходимо в связи с выполнением трудовых функций.

Использование предприятием вышеуказанных данных сведений в своей деятельности трактуется законодательством как "обработка персональных данных ". К таким действиям можно отнести следующие: сбор, накопление, систематизация, уточнение, хранение, использование, обновление, изменение, блокирование, обезличивание, уничтожение передача, распространение и другие действия. Обычно все вышеперечисленные операции выполняются на любом предприятии и в любой организации, но в разном объёме.

Особое внимание следует уделить понятию "передача персональных данных ", потому как в связи с ним на работодателя накладываются определённого рода ограничения (ст. 88 ТК РФ). Во-первых, собственник не имеет права:

  • без письменного согласия работника сообщать его персональные данные в коммерческих целях;
  • без письменного согласия работника сообщать третьей стороне его персональные данные, кроме случаев, когда это необходимо для предупреждения угрозы здоровью и жизни первого и иных случаев, которые предусмотрены законодательством РФ;
  • запрашивать в медицинских учреждениях информацию о состоянии здоровья работника, кроме сведений, непосредственно связанных с вопросом о возможности выполнения работником его трудовых функций.

Кроме вышеперечисленного работодатель обязан соблюдать и следующие требования:

  • предупреждать лиц, которые получили персональные данные любого работника, что эти данные можно использовать исключительно в тех целях, для которых они сообщались, и требовать от этих лиц подтверждения того, что это правило соблюдено. Все лица, которые получают персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности). Однако на обмен персональными данными работников в установленном законодательством РФ порядке данное положение не распространяется;
  • доступ к персональным данным работников разрешать только специально уполномоченным лицам, причём доступ лишь к тем персональным данным, которые необходимы для выполнения конкретных функций;
  • осуществлять передачу персональных данных представителям работников только в установленном законодательством РФ порядке и ограничивать всю информацию лишь теми персональными данными, необходимыми для выполнения указанных представителями целей.

Необходимые документы.

Работодатель, для выполнения требований законодательства, обязан соблюдать определённые условия обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона "О персональных данных" обрабатывать персональные данные, притом с согласия субъектов персональных данных, может только оператор. Но есть исключения, приведённые в ч. 2 ст. 6 этого закона, где говорится, что разрешение не требуется, если обработка персональных данных проводится на основании федерального закона, который устанавливает её цель, круг субъектов, персональные данные которых подлежат обработке, и условия получения персональных данных, а также определяет полномочия оператора. Многие полагаю, что Трудовой кодекс РФ, который является федеральным законом, соответствует данному исключению, но в Кодексе оговариваются некоторые цели обработки персональных данных и указывается на то, что работодатель должен сам определить объём, цели и содержание обработки данных. В случае, если этот объём превышает приведенный в Трудовом кодексе, то работодателю перед использованием данных работника необходимо получить его разрешение, т.е. перед тем как заключать трудовой договор с работодателем, работник обязан написать заявление о согласии на обработку своих персональных данных. Как правило, в таком заявлении должны быть указаны:

  • Ф.И.О., номер документа, удостоверяющего его личность, сведения о его дате выдачи и выдавшем его органе, а также адрес работника;
  • наименование и адрес работодателя, который получает согласие сотрудника;
  • перечень персональных данных, согласие на обработку которых даёт работник;
  • цель обработки персональных данных;
  • перечень действий, связанных с персональными данными, на совершение которых даётся согласие, и общее описание способов обработки персональных данных, которые будет использовать работодатель;
  • срок, в течение которого будет действовать согласие;
  • порядок отзыва заявления.

Цели обработки персональных данных.

Рассмотрим более детально цели обработки персональных данных. В составленном заявлении работнику необходимо подробно указать варианты, при которых могут использоваться его персональные данные. Например, прежде чем заказывать визитные карточки с фамилией работника, необходимо получить его согласие, так же обстоит ситуация и с присвоением электронного адреса, содержащего фамилию работника. Обязательно надо согласовать и срок использования персональных данных работника после его увольнения.

Документы, содержащие сведения о работнике, организация обязана хранить в течение семидесяти пяти лет, поэтому работодателю стоит заранее получить согласие на их использование, а так же определить объём в котором эти сведения могут быть использованы. За работником сохраняется право на отказ от использования его персональных данных, но учитывая возможные последствия (ч. 2 ст. 18 Закона "О персональных данных"), этот отказ должен быть оформлен письменно. Как правило, данного рода ситуации возникают на предприятиях достаточно редко, но чтобы избежать подобных осложнений работодатель обязан ознакомить работника с Положением о персональных данных, составить документ об ознакомлении с Положением, которые обязательно следует заверить подписью работника. Документ должен содержать полный список персональных данных, представляемых работниками, а также в нём указывается где и каким образом они будут храниться, помимо этого в документе необходимо перечислить меры, принятые для обеспечения безопасного хранения носителей информации, и указать лиц ответственных за исполнение.

Согласно ст. 6 Положения N 687 все сотрудники организации, имеющие отношение к работе с персональными данными, должны быть проинструктированы о правилах работы с персональными данными и об ответственности, сопряженной с этой работой. С такими работниками, как правило, заключается трудовой договор, где отдельными пунктами прописываются их обязанности и ответственность, последующая за нарушение конфиденциальности в отношении разглашения персональных данных других лиц.

Требования, предъявляемые к работе на различных носителях.

В процессе деятельности предприятий, получаемая информация сохраняется на носителях двух видах. Это, как правило, бумажный и электронный документооборот - материальные и электронные носители. К списку материальных носителей относятся: трудовая книжка, журнал учёта трудовых книжек, журнал регистрации входящей и исходящей корреспонденции, журнал регистрации приказов и командировочных листов, табели по учёту рабочего времени и другие документы, напрямую или косвенно связанные с информацией о персональных данных сотрудников. В Законе о персональных данных прописано об обязанностях работодателя, касающихся обеспечения хранения персональных данных на бумажных носителях и их сохранности, а также исключения ознакомления с этими документами лиц, не имеющих разрешения.

К электронным носителям персональных данных относятся различные базы данных, которые содержат в себе персональные данные сотрудников. Эта информация хранится, обрабатывается и передается при помощи технических средств. На основании ст. 19 Закона о персональных данных Правительство Российской Федерации постановило утвердить Положение №781 от 17 ноября 2007г об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Под безопасностью персональных данных на электронных носителях понимается сохранение конфиденциальности, исключение несанкционированного проникновения, это относится и к проникновению, не имеющему злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим действиям с персональными данными.

В целях исключения таких ситуаций, работа с электронными носителями должна быть построена следующим образом:

  1. На каждом предприятии информационная система должна квалифицироваться по степени важности, обрабатываемому объёму персональных данных и степени угрозы проникновения. Провести классификацию имеет право организация, прошедшая соответствующее лицензирование. После определения класса, руководство предприятия составляет перечень мер, применяемых для защиты имеющихся персональных данных.
  2. Организация, в целях исключения несанкционированного взлома и незаконного проникновения в помещение, в котором находится информационная система, работающая с персональными данными, должна организовать соответствующую охрану.
  3. Организовать мероприятия, позволяющие предотвратить случайный или умышленный доступ к персональным данным. А если таковой факт произошёл, своевременно обнаружить проникновение и принять меры к устранению последствий проникновения, и исключить действия, которые могут повлечь утерю, порчу и изменение информации.
  4. Принять срочные меры по восстановлению утраченной или измененной информации о персональных данных.
  5. Следить за уровнем защиты информации.

И последнее, для обеспечения работы с персональными данными на должном уровне, на предприятии и в организации должны имеется следующие документы:

  • Положение о персональных данных.
  • Приказ о назначении ответственных за обеспечение безопасности персональных данных.
  • Приказ о назначении ответственных лиц за работу с персональными данными.
  • Договоры и дополнительные соглашения с работниками об обработке персональных данных.
  • Заявления работников на обработку персональных данных.