Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее - ПДн) - это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. "О персональных данных").

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

• своевременного обнаружения несанкционированного доступа к ПДн;
• недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
• возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
• постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн - данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн - данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта ( не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

4. Биометрические персональные данные - информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и , защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

1. Гарантии - совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

• свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
• определение личного представителя для защиты своих персональных данных;
• получение полной информации о ПДн и их обработке;
• выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
• обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и , персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей - для физических лиц; от 5000 до 10000 рублей - должностных лиц, от 20 тысяч до 50 тысяч рублей - для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей - для физических лиц, от 4 до 5 тысяч рублей - для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

• штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
• исполнительных работ на срок до 12 месяцев;
• ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

• штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
• лишения права занимать определенные должности на срок от 2 до 5 лет;
• ареста на срок от 4 до 6 месяцев.

Ирина

Здравствуйте! Судебные приставы предъявляют мне исполнительные производства и оплату долгов человека, совпадающего со мной по ФИО и дате рождения. Все остальные персональные данные у нас, естественно, не совпадают. Тем не менее, судебные приставы присоединили мои персональные данные к должнице, данные в виде СНИЛС, ИНН, номера счета, с которого в счет погашения чужого долга снимали мои деньги. В моем личном кабинете на сайте Госуслуги висят долги и предлагается мне их оплатить. Долги выставлены на мой документ СНИЛС. Судебные приставы не принимают никаких мер, настоящую должницу никто не ищет, все исполнительные производства обращаются ко мне. Подскажите пожалуйста, какой статьей ГК РФ или УК РФ мне руководствоваться для привлечения к ответственности судебных приставов за неправомерное использование моих персональных данных?

Ожидает проверки

Антон

Здравствуйте! Нам необходимо обмениваться персональными данными по открытым каналам связи, а точнее говоря просто по электронной почте, если персональные данные будут в запаролированном архиве, это не будет нарушать закон по защите персональных данных? Или нужно искать другие способы передачи персональных данных? Если да, то какие?

Сергей (старший юрист)

Здравствуйте, Антон! Если адресаты сообщений электронной почты в соответствии с законодательством или договором имеют право на получение сведений, составляющих персональные данные, то никакого нарушения при таком способе обмена информацией нет.

Александр ашенбреннер

Знакомый （вместе работали）взял кредит в банке и не спросив меня дал мой номер банку как близкого человека. Затем через время перестал платить по кредиту. Банк теперь мне постоянно названивает. С этим человеком я не общаюсь, он уже уволился. Что мне делать. Как отвязаться от этих звонков.

Сергей (старший юрист)

Здравствуйте, Александр! Попробуйте написать в банк заявление о прекращении обработки Ваших персональных данных. В случае отказа - подавайте жалобу в прокуратуру для привлечения банка к административной ответственности.

Александр

Здравствуйте! Посмотрел свою кредитную историю, которая собирается на данных бюро кредитных историй. Вижу, что по мне делали запросы в БКИ без моего согласия два банка. У одного из них и моих персональных данных быть не должно. Законны ли запросы в БКИ этих двух банков? Что делать?

Сергей (старший юрист)

Здравствуйте, Александр! В соответствии с законом о кредитных историях банки могут делать запросы о кредитных историях граждан только при условии наличия на это их согласия. Это прямо прописано в ст. 6 указанного закона. Поэтому без получения Вашего согласия такие запросы являются незаконными.

Дмитрий

Здравствуйте. некое ООО "благоустройство" рассылает платежки с указанием моих ФИО адрес,кол-во прописанных и зарегистрированных людей при этом ни договора на обслуживание ни договора на обработку персональных данных я не подписывал. не нарушают ли они закон

Сергей (старший юрист)

Здравствуйте, Дмитрий! Распространение персональных данных людей таким образом, чтобы они стали доступными для неограниченного числа лиц является нарушением законодательства. В зависимости от обстоятельств дела это может быть квалифицировано как административное правонарушение или уголовное преступление.

Анна

Добрый день! Подскажите пожалуйста, представитель управляющей компании создал общую группу в вацапе, куда были добавлены все жители нашего дома. Соответственно данная группа содержит информацию по номерам телефонам всех жильцов. Имеет ли право управляющая компания создавать такие группы и открывать данные по номерам телефонов жителей, а также их ФИО без их согласия? По договору с управляющей компании, она имеет право передавать информацию по персональным данным третьим лицам только в целях выполнения своих обязанностей по договору

Сергей (старший юрист)

Здравствуйте, Анна! Право на создание групп в социальных сетях и мессенджерах имеют все граждане в соответствии с условиями пользования таких мессенджеров и социальных сетей. Скорее всего, в данную группу были приглашены жильцы дома, которые могут всегда отказаться от участия в такой группе. Кроме того, не доказано, что создание группы не направлено на достижение целей по выполнению обязательств управляющей компании перед жильцами. Поэтому в данной ситуации очень спорно наличие нарушения законодательства о персональных данных.

Дмитрий

Здравствуйте, ранее привлекался к уголовной ответственности, может ли работодатель запросить данные из полиции?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Запросить, конечно, может, но ему могут ответить отказом, так как у него нет права на получение данной конфиденциальной информации. Но у работодателя всегда есть возможность получить информацию о Вас через неофициальные каналы. Поэтому при желании он всегда сможет получить нужную информацию о кандидате на работу.

Евгений

Здравствуйте, работаю водителем общественного транспорта, руководство обязывает по громкой связи в салон при входе пассажиров объявлять свою Ф.И.О, является ли это нарушением закона о защите персональных данных? Могу ли я отказаться делать это?

Сергей (старший юрист)

Здравствуйте, Евгений! Если Вы согласитесь это делать, то никакого нарушения не будет, так как соответствующую информацию Вы сообщили добровольно. Но Вы можете отказаться от этого, если в трудовом договоре или других обязательных для Вас документах (например, должностная инструкция) нет такой обязанности. Насколько нам известно, на федеральном уровне такой обязанности у водителей нет.

Игорь

Добрый день, у нас в WhatsApp есть закрытая группа людей связанных определённой профессией. Для идентификации и понимания с кем мы общаемся мы попросили всех участников написать имена и фамилии, а также предоставить свою фотографию. Является ли это правомерным? Пояснение Группа создана для общения и помощи друг другу в работе. Так же в группе есть определённые правила, например о том что запрещено передавать переписку и данные пользователей третьим лицам.

Сергей (старший юрист)

Здравствуйте, Игорь! Если граждане самостоятельно будут выкладывать свои данные (которые могут быть и недостоверными), то никакого нарушения персональных данных тут не будет.

Алексей

Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки "пригласить" напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании "личных предположений" - вот их цитата: "Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.", вот ещё их первый ответ: "Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники." Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.

Сергей (старший юрист)

Здравствуйте, Алексей! Возможно, что Вы уже дали согласие на обработку своих персональных данных, установив приложение Тинькофф-банка. Посмотрите внимательно условия лицензионного соглашения к данному приложению. Думаю, Вы будете неприятно удивлены. Поэтому с большой долей вероятности можно утверждать, что формального нарушения закона о персональных данных в Вашей ситуации нет.

Александр

Мне позвонил некий сотрудник консалтинговой фирмы, представился и сказал, что когда-то он работал в некотором банке и при моем обращении на горячую линию этого банка помогал мне в некоторых операциях. На тот момент он являлся сотрудником банка и, соответственно, имел доступ к моим персональным данным. Скажите, его звонок как представителя фирмы, где мои данные (ФИО, телефон) появились незаконно, не подтверждает факт несанкционированной передачи моих персональных данных, т.е. нарушение Закона о персональных данных.

Сергей (старший юрист)

Здравствуйте, Александр! В данном случае, скорее, речь идет о неправомерном действии конкретного сотрудника, который мог воспользоваться имеющимся у него доступом к базе персональных данных клиента банка. В любом случае он не имел права копировать базу данных клиентов банка и использовать ее для работы в коммерческой организации.

Анна

Здравствуйте. Скажите пожалуйста, согласие на обработку ПД подписывается один раз при получении какой-либо услуги в больнице, или при каждом обращении?

Сергей (старший юрист)

Здравствуйте, Анна! Для точного соблюдения закона требуется, чтобы при каждом предоставлении персональных данных пациент давал согласие на их обработку. Но в то же время закон о персональных данных позволяет сделать вывод о том, что если человек уже неоднократно обращался к определенному оператору обработки персональных данных и уже предоставлял соответствующие персональные данные, то при отсутствии новых персональных данных получать согласие не требуется. Но для перестраховки больницы могут каждый раз требовать подписывать согласие на обработку персональных данных.

михаил

Высылаю алименты почтойимеется исполнительный лист, не указывая свое место работы,ежемесячноимеется задолженность, без просрочек, есть ли основание для вскрытия моей личной базы данных, бывшей женой, если я не являюсь злостным не плательщиком?

Сергей (старший юрист)

Здравствуйте, Михаил! Сторона исполнительного производства вправе знакомиться с материалами такого производства, в том числе содержащимися там персональными данными должника. Но при этом взыскатель по исполнительному производству не вправе разглашать такую информацию третьим лицам.

Елена

Здравствуйте! В сети в интернет в различных группах в открытом доступе гражданин,с которым у меня судебные разбирательства, выкладывает фотоматериалы из дела, в том числе с моими персональными данными ФИО, адрес, год рождения. Можно ли данного гражданина как-то привлечь к ответственности например за разглашение моих персональных данных? Спасибо

Сергей (старший юрист)

Здравствуйте, Елена! В действиях гражданина имеется факт нарушения Ваших персональных данных. Вы можете обратиться в прокуратуру или полицию для решения вопроса о возбуждении уголовного дела или привлечения гражданина к административной ответственности.

Иван Иванович

Является ли передача данных с видеокамер, администрацией рынка частному лицу, нарушением закона о персональных данных относительно меня.

Сергей (старший юрист)

Здравствуйте, Иван Иванович! Смотря для каких целей была передана запись. Если для раскрытия правонарушения или преступления, то такие действия не являются противоправными. Кроме того, само по себе видеоизображение территории, на которой находятся определенные лица, не содержит в себе никаких персональных данных и не позволяет идентифицировать человека по его фамилии, имени, адресу и т.д.

Александр

Здравствуйте! Некая организация, считающая, что я должен ей денег, хотя никаких договоров мы не заключали, прислало мне претензию открытым письмом, на листе бумаги, который попал не в мой почтовый ящик, по вменяемому долгу с указанием ФИО, адреса и суммы долга с пенями. Есть ли в этом факт нарушения моих прав на защиту персональных данных?

Сергей (старший юрист)

Здравствуйте, Александр! Нарушения законодательства о персональных данных нет, так как это письмо адресовалось именно Вам и отсутствуют доказательства умышленного распространения персональных данных. Кроме того, не известно, по какой именно причине письмо попало в чужой почтовый ящик. Может быть, это ошибка разносчика.

Александр

Здравствуйте, Сергей! А разве должностное лицо не запечатывая письмо с персональными данными не создаёт умышленно условия для их разглашения?

Сергей (старший юрист)

Нет. Письмо адресовалось Вам, а не размещалось для публичного обозрения. Конечно, Вы можете попытаться доказать обратное, но на это потребуется много времени и денег.

Олег Богородский

На одном из сайтов по биржевой торговле требуют пройти верификацию счёта с предоставлением фотокопии паспорта первой страницы и с пропиской, а также документ подтверждающий прописку. Правомерно ли это.

Сергей (старший юрист)

Здравствуйте, Олег! Ничего противозаконного в установлении личности пользователя нет. Более того, законодательство о противодействии отмыванию преступных доходов обязывает отдельные организации принимать меры по верификации своих клиентов.

Евгения

Добрый день! Работаю в снт бухгалтером. В ходе прокурорской проверки председатель затребовал от меня и кассира объяснительные записки, в которых мы указали свои фио и должности. В результате делопроизводитель выложил в общий чат снт наши объяснительные без нашего согласия и уведомления. Существует ли в этом случае нарушение персональных данных и чести и достоинства со стороны делопроизводителя?

Сергей (старший юрист)

Здравствуйте, Евгения! Формально имеется нарушение законодательства о персональных данных, но вот говорить о нарушении чести и достоинства этим фактом нельзя. Для этого должны быть более веские основания.

Андрей

Добрый день Елена. Коллега занимался соисканием новой должности. Фирма после изучения его резюме предложила пройти собеседование. В течение этого взаимодействия с работниками кадровой службы фирмы, как потом выяснилось они записывали все телефонные переговоры безведома коллеги. Результатом работы с кадровиками стали некоторые предварительные договоренности об условиях работы в новой должности. Когда пришло время уходить со старого места работы, коллеге действующее руководство предложило повышение в должности и более выгодные условия, и он принял решение остаться на старом месте работы. Свое решение сотрудник сообщил и фирме, спустя некоторое время на старое место работы пришло письмо от фирмы с приложением телефонных разговоров коллеги и письмом поясняющим обстоятельства этих переговоров. Вопрос: Возможно ли привлечь фирму должностных лиц за совершенные ими действия, если возможно, какая ответственность предусмотрена законом. С уважением, Андрей

Сергей (старший юрист)

Здравствуйте, Андрей! В действиях данной организации и ее должностных лиц имеются признаки преступления, предусмотренного ч. 2 ст. 138 УК РФ, то есть нарушение тайны телефонных переговоров. Надо писать заявление в следственный комитет РФ о возбуждении уголовного дела.

Юля

Скажите пожалуйста. Мой бывший муж в стадии алкогольного опьянения протаранил своим внедорожником мою машину. Сын в это время все снимал на телефон. Вызвали полицию. Полиция попросила скинуть на флешку снятое видео. На следующий день в Контактах появилась фейковая страница, и выложено это видео. городок у нас маленький, опозорились, у 12 летней дочери нервный срыв. Больше видео кроме ментов не кому не показывалось и не скидывалось, налицо дело рук ментов. Скажите правомерны ли их действия, если нет, то куда обращаться?

Сергей (старший юрист)

Здравствуйте, Юля! Действия однозначно являются противозаконными. Вам необходимо обратиться к начальнику местного РОВД для организации проведения служебной проверки по факту распространения материалов, составляющих тайну предварительного следствия. Также можно обратиться в прокуратуру с жалобой на действия сотрудников полиции.

Александр

При ознакомлении с материалами проверки по моему заявлению сотрудники полиции отказываются предоставить мне для ознакомления объяснение человека, в отношении которого мной написано заявление, ссылаясь на закон о персональных данных. Законно ли поступают в данной ситуации сотрудники полиции. Если нет, предусмотрена ли за это какая-то ответственность? Спасибо.

Сергей (старший юрист)

Здравствуйте, Александр! Действия сотрудников полиции являются незаконными, так как Вы имеете право в соответствии с УПК РФ знакомиться со всеми материалами проверки, касающимися Вас лично. Как минимум, подобные действия полицейских нарушают УПК РФ, что может быть основанием для их привлечения к дисциплинарной ответственности.

Наталья

Здравствуйте! На работе сложилась неприятная ситуация!!! Мой непосредственный начальник дал мне указание выписать из личных карточек форма Т-2 конкретных работников сведения о ФИО, дате рождении, месте проживания и номере телефона - для отчёта. Выписка была произведена в присутствии кадрового работника. Директор в настоящее время проводит служебную проверку и пытается наложить дисциплинарное взыскание за работу с "личными делами". Пояснения моего начальника и мои в расчёт не берутся - нужна "кровь". При трудоустройстве все сотрудники подписывают Согласие на обработку персональных данных. Грозит ли мне дисциплинарное взыскание, если информация была изъята по устному распоряжению моего непосредственного руководителя, для формирования отчёта. Разглашение информации каким бы то ни было третьим лицам, в моих ЛИЧНЫХ интересах! не было. Хотелось бы получить ответ со ссылкой на нормативные акты, для предоставления комиссии по служебной проверке. Спасибо!

Сергей (старший юрист)

Здравствуйте, Наталья! Формально Вы и Ваш непосредственный руководитель нарушили законодательство, так как к персональным данным работников доступ может иметь только специально уполномоченное лицо. Это предусмотрено ст. 88 Трудового кодекса РФ. Поэтому для выстраивания Вашей позиции защиты надо изучить все локальные документы относительно персональных данных и Вашу должностную инструкцию и трудовой договор.

Оксана

Здравствуйте. На работе оставила на столе свои резюме. Сотрудница без моего ведома взяла один экземпляр и передала руководителю.Спустя месяц мне руководитель сказала, что "Случайно" нашла резюме в интернете, хотя это полная ложь, данное резюме у меня существует только в виде файла. Могу ли я привлечь к ответственности сотрудника?

Сергей (старший юрист)

Здравствуйте, Оксана! Оснований для привлечения сотрудницы к ответственности нет, так как она целенаправленно не собирала сведения о Вашей частной жизни, не доводила до сведения широкого круга лиц полученные о Вас сведения. Кроме того, возможность распространения Ваших персональных данных появилась вследствие Вашей неосторожности. Да и в суде Вы не сможете доказать, что именно эта сотрудница взяла и передала руководству Ваше резюме, если, конечно, они сами не признаются в этом.

Светоана

Моя мама обратилилась в районое отделение пенсионного фонда за получением надбавки к пенсии. Там ей сказали что неоходимы оригиналы свидетельств о рождении на детей. При этом сказано что "если не получиться то документы выбросят".куда обратится для привлечения к ответственности работника в случае утраты имдокументов, может при подаче документов необходимо написать список предоставляемых документов иначе потом не докажешь что они были?Какая предусматривается ответственность за утрату дркументов?

Сергей (старший юрист)

Здравствуйте, Светлана! По меньшей мере факт утраты документов будет образовывать дисциплинарный проступок, за который виновное лицо должно понести ответственность от своего начальства вплоть до увольнения. В самых неблагоприятных случаях можно попытаться привлечь чиновника к уголовной ответственности за халатность, но это маловероятно, так как будет необходимо доказать наличие факта причинения значительного ущерба охраняемым законом правам и интересам граждан.

Ирина

Здравствуйте! Работаю в ЧОО. На одном из КПП установлена камера видеонаблюдения,на этом же КПП было нарушение пропускного режима. Я засветилась на видео. Работодатель собрал всех охранников и показал это видео! Правомерны ли его действия? Документ о персональных данных я подписывала,но года 2 назад! Моё согласие на обзор этого видео никто не спрашивал... Что я могу предъявить работодателю?

Сергей (старший юрист)

Здравствуйте, Ирина! В действиях работодателя никакого нарушения нет, так как этим видео никакие Ваши персональные данные не разглашаются. Кроме того, на видео, скорее всего, не специально запечатлены именно Вы, а КПП, являющееся центром фокуса. Поэтому шансы что-то отсудить у работодателя практически равны нулю.

талияНа

сотрудница забежала ко мне в кабинет, назвала меня старой каргой, змеей, пожелала уходить на пенсию и пить с мужем чай. Заведующая не дает мне домашний адрес этой сотрудницы, чтобы я указала его в исковом заявлении об оскорблении личности, ссылаясь на защиту персональных данных. Как мне быть?

Сергей (старший юрист)

Здравствуйте! Действия начальницы являются правомерными, так как без согласия человека нельзя разглашать его персональные данные. Для получения домашнего адреса Вы можете сначала написать заявление в полицию, которая при получении объяснения с этой женщины узнает ее домашний адрес. Вы потом можете ознакомиться с материалами проверки.

Дмитрий

Здравствуйте. я Работаю в системе образования. Недавно органы власти областного уровня спустили сверху указание собрать сведения о родителях части воспитанников Ф.И.О и паспортные данные для того чтобы компенсировать расходы на питание в учреждении. Дело-то хорошее, но вот насколько законно с нашей стороны собирать такие данные?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Сбор подобных данных не будет содержать признаков какого-либо правонарушения, если родители добровольно согласятся предоставить такую информацию. Если Вы им объясните для каких целей необходимы сведения, то, думаю, все родители правильно поймут Вас.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

• Роскомнадзор (защита прав субъектов персональных данных)
• ФСБ (требования в области криптографии)
• ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

• субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
• обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

1. Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
   • цель обработки ПД
   • способы обработки ПД
   • сроки обработки ПД
   • перечень допущенных к обработке ПД лиц
   • перечень обрабатываемых ПД и источник их получения
   • сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

   Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

2. Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
4. Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

1. если его связывают с субъектом трудовые отношения;
2. если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
3. если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
4. если данные являются общедоступными;
5. если включают в себя только ФИО;
6. данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
7. если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
8. если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

1. Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
2. Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
3. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
4. Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

   Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

   Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

5. Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

1. обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
2. оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
3. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
4. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
5. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

С чего начать защиту, и нужна ли она вообще?

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152 ).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152 ).

Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152 ).

Обработка персональных данных — это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152 ).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить, какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Классификация информационной системы персональных данных

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г .

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

• категория обрабатываемых персональных данных;
• объем обрабатываемых персональных данных;
• тип информационной системы;
• структура информационной системы и местоположение ее технических средств;
• режимы обработки персональных данных;
• режимы разграничения прав доступа пользователей;
• наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.

Согласно приказу № 55/86/20 , все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Согласие субъекта ПДн на обработку

Далее необходимо перейти к обработке этих данных, но перед тем, как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

Статья 6 ФЗ-152:

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14 . Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК ).

В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн

Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152 , а, следовательно, в нем должно быть указано:

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением под подпись.

Список лиц, допущенных к обработке ПДн

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) — и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Уведомление Роскомнадзора

Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152 :

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152 . Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://rsoc.ru/personal-data/p181/

Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос — обеспечение безопасности персональных данных при их обработке.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

Получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

Привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

Отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

Устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

Статья 19, ФЗ-152 :

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

• «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноябрям2007 г.
• «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
• «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, — их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

Лицензия — получать или не получать?

Законодательство, а также документы ФСТЭК говорят нам следующее:

Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.:

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Основные мероприятия ФСТЭК

Пункт 3.14

В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом «Connect! Мир связи» (http://www.connect.ru/article.asp?id=9406):

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом — лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

Для крупных организаций (таких как операторы связи, крупные банки и т.п.) — выгоднее самим получить лицензию и выполнить все необходимые работы.

Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации » (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания СЗПДн

Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

1 Предпроектная стадия

1.1 обследование объекта информатизации:

• установление необходимости обработки ПДн в ИСПДн;
• определение перечня ПДн, подлежащих защите;
• определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
• определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
• определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
• определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
• проведение классификации ИСПДн;
• определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
• определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
• разработка частной модели угроз.

1.2 разработка технического задания на создание СЗПДн, которое должно содержать:

• обоснование необходимости разработки СЗПДн;
• исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
• класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
• конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2. Стадия проектирования и реализации СЗПДн

2.1 разработка проекта на создание СЗПДн;

2.2 разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3 закупка сертифицированных средств защиты информации;

2.4 разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

2.5 установка и настройка СрЗИ;

2.6 определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

2.7 разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

2.8 выполнение других мероприятий, направленных на защиту информации.

3. Стадия ввода в действие СЗПДн

3.1 опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

3.2 приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

3.3 оценка соответствия ИСПДн требованиям безопасности информации — аттестация (декларирование) по требованиям безопасности информации.

4. Техническое обслуживание и сопровождение системы защиты информации

Организационно-распорядительная документация по защите ПДн

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:

Цель и задачи в области защиты персональных данных;

Понятие и состав персональных данных;

В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

Как происходит сбор и хранение персональных данных;

Как они обрабатываются и используются;

Кто (по должностям) в пределах фирмы имеет к ним доступ;

Принципы защиты ПДн, в том числе от несанкционированного доступа;

Права работника в целях обеспечения защиты своих персональных данных;

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

Угрозы утечки информации по техническим каналам;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5. Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Что обязательно сертифицировать, а что нет?

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия…

Пункт 4.2: …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Пункт 4.3: Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно — это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России.

Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ — лицензиат ФСБ.

Аттестация

Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

Анализ исходных данных по аттестуемой ИСПДн;

Проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;

Проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;

Анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях — к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152 ):

Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);

Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация - это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон - Конституцию, а также ФЗ 152 "О защите персональных данных". Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией - данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 "О защите персональных данных" говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа - законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными - это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как "врачебная тайна". Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации - биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ "О персональной информации".

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 "О защите персональных данных" пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон "О защите персональных данных" (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях - на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них - это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 "О защите персональных данных" представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ "О защите персональных данных". Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе "О защите персональных данных" не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ "О защите персональных данных", полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ "О защите персональных данных", если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты - это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе "О защите персональных данных" говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.