В век новых технологий и интернета любая информация распространяется с огромной скоростью. Социальные сети здорово «помогают» процессу, делая общедоступными персональные данные гражданина . Чаще всего личную информацию предоставляют при устройстве на работу. Для этого существует закон об обработке персональных данных в организации. Этот закон и обсудим в статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении , так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях .

Относится ли заработная плата к персональным данным читайте в нашей статье .

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные , если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

• Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
• Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств : применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

• сбор;
• фиксирование;
• использование;
• уничтожение.

Правила и порядок работы

Личные данные трудящегося , которые необходимы руководителю, состоят из нескольких пунктов:

• Информация об образовании.
• Информация о опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
• Краткая информация о членах семьи и их рабочих местах.
• Информация об имеющихся заболеваниях и о здоровье в целом.

В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:

Зачем нужно согласие?

Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.

Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.

Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.

Ответственный за персональные данные в организации

Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.

Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным . Этот документ лучше всего оформить отдельным . Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:

Образец приказа об ответственных лицах за персональные данные в организации можете скачать .

1. Руководитель кадрового отдела.
2. Кадровый инспектор.
3. Руководитель по персоналу.
4. Заместитель руководителя по персоналу.
5. Специалист по работе с персоналом.
6. Либо допускается введение иной должности.

Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.

Передача и хранение

Хранение важных бумаг, в которых содержатся личные сведения о сотрудниках, происходит в огнеупорных шкафах , т.е. сейфах. Ключи от сейфа должны находиться все время у директора кадрового отдела. Если директор в какой-то из дней отсутствует, то ключи должны быть у его заместителя.

Если необходимо передать личные данные трудящегося, то работник кадрового отдела обязан придерживаться определенных правил :

• Нельзя предоставлять третьему лицу личную информацию о трудящемся без его согласия в письменном виде.

Исключения могут быть в случае, когда информация нужна для предотвращения вреда для здоровья сотрудника и в случаях, которые закреплены законодательством. Кроме этого нельзя разглашать персональные данные сотрудника в коммерческих целях без его разрешения.

• Если приходится передавать личные сведения сотрудников, то нужно сообщить тем, для кого предназначается эта информация, что данные сведения можно применять только в тех целях, для которых давался запрос.
• Работник кадрового отдела имеет право доступа исключительно к той информации, которая нужна, чтобы выполнять рабочие обязанности.
• Работник кадрового отдела не имеет таких полномочий, чтобы выяснять информацию о состоянии здоровья сотрудника.

Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей.

Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.

В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных.

При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки. И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время .

Руководитель должен знать об определенных сроках, которые требуются для сохранности некоторой информации. А персональные данные сотрудника необходимо хранить в течение 75 лет .

Узнайте общий порядок организации и перечень действий обработки персональных данных на предприятии из ролика:

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

С чего начать защиту, и нужна ли она вообще?

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152 ).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152 ).

Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152 ).

Обработка персональных данных — это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152 ).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить, какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Классификация информационной системы персональных данных

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г .

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

• категория обрабатываемых персональных данных;
• объем обрабатываемых персональных данных;
• тип информационной системы;
• структура информационной системы и местоположение ее технических средств;
• режимы обработки персональных данных;
• режимы разграничения прав доступа пользователей;
• наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.

Согласно приказу № 55/86/20 , все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Согласие субъекта ПДн на обработку

Далее необходимо перейти к обработке этих данных, но перед тем, как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

Статья 6 ФЗ-152:

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14 . Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК ).

В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн

Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152 , а, следовательно, в нем должно быть указано:

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением под подпись.

Список лиц, допущенных к обработке ПДн

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) — и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Уведомление Роскомнадзора

Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152 :

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152 . Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://rsoc.ru/personal-data/p181/

Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос — обеспечение безопасности персональных данных при их обработке.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

Получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

Привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

Отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

Устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

Статья 19, ФЗ-152 :

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

• «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноябрям2007 г.
• «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
• «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, — их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

Лицензия — получать или не получать?

Законодательство, а также документы ФСТЭК говорят нам следующее:

Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.:

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Основные мероприятия ФСТЭК

Пункт 3.14

В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом «Connect! Мир связи» (http://www.connect.ru/article.asp?id=9406):

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом — лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

Для крупных организаций (таких как операторы связи, крупные банки и т.п.) — выгоднее самим получить лицензию и выполнить все необходимые работы.

Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации » (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания СЗПДн

Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

1 Предпроектная стадия

1.1 обследование объекта информатизации:

• установление необходимости обработки ПДн в ИСПДн;
• определение перечня ПДн, подлежащих защите;
• определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
• определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
• определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
• определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
• проведение классификации ИСПДн;
• определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
• определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
• разработка частной модели угроз.

1.2 разработка технического задания на создание СЗПДн, которое должно содержать:

• обоснование необходимости разработки СЗПДн;
• исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
• класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
• конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2. Стадия проектирования и реализации СЗПДн

2.1 разработка проекта на создание СЗПДн;

2.2 разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3 закупка сертифицированных средств защиты информации;

2.4 разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

2.5 установка и настройка СрЗИ;

2.6 определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

2.7 разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

2.8 выполнение других мероприятий, направленных на защиту информации.

3. Стадия ввода в действие СЗПДн

3.1 опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

3.2 приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

3.3 оценка соответствия ИСПДн требованиям безопасности информации — аттестация (декларирование) по требованиям безопасности информации.

4. Техническое обслуживание и сопровождение системы защиты информации

Организационно-распорядительная документация по защите ПДн

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:

Цель и задачи в области защиты персональных данных;

Понятие и состав персональных данных;

В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

Как происходит сбор и хранение персональных данных;

Как они обрабатываются и используются;

Кто (по должностям) в пределах фирмы имеет к ним доступ;

Принципы защиты ПДн, в том числе от несанкционированного доступа;

Права работника в целях обеспечения защиты своих персональных данных;

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

Угрозы утечки информации по техническим каналам;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5. Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Что обязательно сертифицировать, а что нет?

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия…

Пункт 4.2: …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Пункт 4.3: Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно — это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России.

Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ — лицензиат ФСБ.

Аттестация

Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

Анализ исходных данных по аттестуемой ИСПДн;

Проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;

Проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;

Анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях — к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152 ):

Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);

Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Определяемся с понятием.

Уже более 3 лет российское законодательство при обработке персональных данных работников стоит на страже неприкосновенности частной жизни, семейной и личной тайны, и следит за обеспечением защиты свобод и прав гражданина и человека. Для это было принято довольно много нормативные акты, которые обязывали обеспечить безопасность персональных данных, взаимодействуют с которыми не только физические и юридические лица, но и разные органы власти. К наиболее важным нормативным актам можно отнести:

• Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
• Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687);
• Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 781).

На заседании Госдумы в декабре 2009 года в третьем чтении был принят законопроект N 284213-5 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных". В соответствии с этими изменениям из Закона были исключены требования, касающиеся использования криптографических средств защиты персональных данных. Согласно ст. 25 Закон о персональных данных все информационные системы персональных данных, которые были созданы до вступления данного Закона в силу, необходимо было не позднее 1 января 2010 года привести в соответствие с требованиями действующего законодательства. А в законопроекте же предлагалось продлить срок до 1 января 2011 года.

Но как эти изменения относятся к кадровой службе? Что нового содержится в данном Законе и Постановлениях, чего нет в гл. 14 Трудового кодекса РФ? Во-первых, все эти документы определяют порядок работы с персональными данными, а также уточняют и расширяют нормы права, которые приведенные в Трудовом кодексе РФ. Во-вторых, они определяют правила по обеспечению безопасности работы с персональными данными.

Предлагаем разобраться в этом детальнее. При использовании персональных данных работников, для определения объема работ, следует отталкиваться от ключевых понятий, таких как "персональные данные" и "обработка персональных данных".

Согласно Трудовому кодексу РФ персональные данные работников – это информация, касающаяся конкретного работника и тесно связанная с трудовыми отношениями, которая необходима каждому работодателю. А согласно Закону о персональных данных, в котором уточняется и расширяется это понятие, к персональным данным может относиться любая информация, касающаяся определенного или определяемого на основании такой информации физического лица (т.е. субъекта персональных данных), в том числе его имя, фамилия, отчество, дата и место рождения, адрес проживания, образование, профессия, социальное, семейное, имущественное положение, доходы и другая информация. Таким образом, любой работодатель, заключивший трудовой договор с работником, получает всю необходимую информацию, которая относится к персональным данным. Как правила, вся эта информация содержится в следующих, предъявляемых работником при приеме на работу документах. К ним относятся:

• паспорт;
• свидетельство о присвоении ИНН;
• военный билет (если имеется);
• страховое пенсионное свидетельство;
• документы об образовании (в том числе и дополнительное образование, если работник представляет их при приёме на работу или это необходимо для выполнения определенных трудовых функций);
• водительское удостоверении и документы на автомобиль, опять же, если это необходимо в связи с выполнением некоторых трудовой функции работника;
• справка о прохождении медицинского осмотра (медицинская книжка), если это необходимо в связи с выполнением трудовых функций.

Использование предприятием вышеуказанных данных сведений в своей деятельности трактуется законодательством как "обработка персональных данных ". К таким действиям можно отнести следующие: сбор, накопление, систематизация, уточнение, хранение, использование, обновление, изменение, блокирование, обезличивание, уничтожение передача, распространение и другие действия. Обычно все вышеперечисленные операции выполняются на любом предприятии и в любой организации, но в разном объёме.

Особое внимание следует уделить понятию "передача персональных данных ", потому как в связи с ним на работодателя накладываются определённого рода ограничения (ст. 88 ТК РФ). Во-первых, собственник не имеет права:

• без письменного согласия работника сообщать его персональные данные в коммерческих целях;
• без письменного согласия работника сообщать третьей стороне его персональные данные, кроме случаев, когда это необходимо для предупреждения угрозы здоровью и жизни первого и иных случаев, которые предусмотрены законодательством РФ;
• запрашивать в медицинских учреждениях информацию о состоянии здоровья работника, кроме сведений, непосредственно связанных с вопросом о возможности выполнения работником его трудовых функций.

Кроме вышеперечисленного работодатель обязан соблюдать и следующие требования:

• предупреждать лиц, которые получили персональные данные любого работника, что эти данные можно использовать исключительно в тех целях, для которых они сообщались, и требовать от этих лиц подтверждения того, что это правило соблюдено. Все лица, которые получают персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности). Однако на обмен персональными данными работников в установленном законодательством РФ порядке данное положение не распространяется;
• доступ к персональным данным работников разрешать только специально уполномоченным лицам, причём доступ лишь к тем персональным данным, которые необходимы для выполнения конкретных функций;
• осуществлять передачу персональных данных представителям работников только в установленном законодательством РФ порядке и ограничивать всю информацию лишь теми персональными данными, необходимыми для выполнения указанных представителями целей.

Необходимые документы.

Работодатель, для выполнения требований законодательства, обязан соблюдать определённые условия обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона "О персональных данных" обрабатывать персональные данные, притом с согласия субъектов персональных данных, может только оператор. Но есть исключения, приведённые в ч. 2 ст. 6 этого закона, где говорится, что разрешение не требуется, если обработка персональных данных проводится на основании федерального закона, который устанавливает её цель, круг субъектов, персональные данные которых подлежат обработке, и условия получения персональных данных, а также определяет полномочия оператора. Многие полагаю, что Трудовой кодекс РФ, который является федеральным законом, соответствует данному исключению, но в Кодексе оговариваются некоторые цели обработки персональных данных и указывается на то, что работодатель должен сам определить объём, цели и содержание обработки данных. В случае, если этот объём превышает приведенный в Трудовом кодексе, то работодателю перед использованием данных работника необходимо получить его разрешение, т.е. перед тем как заключать трудовой договор с работодателем, работник обязан написать заявление о согласии на обработку своих персональных данных. Как правило, в таком заявлении должны быть указаны:

• Ф.И.О., номер документа, удостоверяющего его личность, сведения о его дате выдачи и выдавшем его органе, а также адрес работника;
• наименование и адрес работодателя, который получает согласие сотрудника;
• перечень персональных данных, согласие на обработку которых даёт работник;
• цель обработки персональных данных;
• перечень действий, связанных с персональными данными, на совершение которых даётся согласие, и общее описание способов обработки персональных данных, которые будет использовать работодатель;
• срок, в течение которого будет действовать согласие;
• порядок отзыва заявления.

Цели обработки персональных данных.

Рассмотрим более детально цели обработки персональных данных. В составленном заявлении работнику необходимо подробно указать варианты, при которых могут использоваться его персональные данные. Например, прежде чем заказывать визитные карточки с фамилией работника, необходимо получить его согласие, так же обстоит ситуация и с присвоением электронного адреса, содержащего фамилию работника. Обязательно надо согласовать и срок использования персональных данных работника после его увольнения.

Документы, содержащие сведения о работнике, организация обязана хранить в течение семидесяти пяти лет, поэтому работодателю стоит заранее получить согласие на их использование, а так же определить объём в котором эти сведения могут быть использованы. За работником сохраняется право на отказ от использования его персональных данных, но учитывая возможные последствия (ч. 2 ст. 18 Закона "О персональных данных"), этот отказ должен быть оформлен письменно. Как правило, данного рода ситуации возникают на предприятиях достаточно редко, но чтобы избежать подобных осложнений работодатель обязан ознакомить работника с Положением о персональных данных, составить документ об ознакомлении с Положением, которые обязательно следует заверить подписью работника. Документ должен содержать полный список персональных данных, представляемых работниками, а также в нём указывается где и каким образом они будут храниться, помимо этого в документе необходимо перечислить меры, принятые для обеспечения безопасного хранения носителей информации, и указать лиц ответственных за исполнение.

Согласно ст. 6 Положения N 687 все сотрудники организации, имеющие отношение к работе с персональными данными, должны быть проинструктированы о правилах работы с персональными данными и об ответственности, сопряженной с этой работой. С такими работниками, как правило, заключается трудовой договор, где отдельными пунктами прописываются их обязанности и ответственность, последующая за нарушение конфиденциальности в отношении разглашения персональных данных других лиц.

Требования, предъявляемые к работе на различных носителях.

В процессе деятельности предприятий, получаемая информация сохраняется на носителях двух видах. Это, как правило, бумажный и электронный документооборот - материальные и электронные носители. К списку материальных носителей относятся: трудовая книжка, журнал учёта трудовых книжек, журнал регистрации входящей и исходящей корреспонденции, журнал регистрации приказов и командировочных листов, табели по учёту рабочего времени и другие документы, напрямую или косвенно связанные с информацией о персональных данных сотрудников. В Законе о персональных данных прописано об обязанностях работодателя, касающихся обеспечения хранения персональных данных на бумажных носителях и их сохранности, а также исключения ознакомления с этими документами лиц, не имеющих разрешения.

К электронным носителям персональных данных относятся различные базы данных, которые содержат в себе персональные данные сотрудников. Эта информация хранится, обрабатывается и передается при помощи технических средств. На основании ст. 19 Закона о персональных данных Правительство Российской Федерации постановило утвердить Положение №781 от 17 ноября 2007г об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Под безопасностью персональных данных на электронных носителях понимается сохранение конфиденциальности, исключение несанкционированного проникновения, это относится и к проникновению, не имеющему злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим действиям с персональными данными.

В целях исключения таких ситуаций, работа с электронными носителями должна быть построена следующим образом:

1. На каждом предприятии информационная система должна квалифицироваться по степени важности, обрабатываемому объёму персональных данных и степени угрозы проникновения. Провести классификацию имеет право организация, прошедшая соответствующее лицензирование. После определения класса, руководство предприятия составляет перечень мер, применяемых для защиты имеющихся персональных данных.
2. Организация, в целях исключения несанкционированного взлома и незаконного проникновения в помещение, в котором находится информационная система, работающая с персональными данными, должна организовать соответствующую охрану.
3. Организовать мероприятия, позволяющие предотвратить случайный или умышленный доступ к персональным данным. А если таковой факт произошёл, своевременно обнаружить проникновение и принять меры к устранению последствий проникновения, и исключить действия, которые могут повлечь утерю, порчу и изменение информации.
4. Принять срочные меры по восстановлению утраченной или измененной информации о персональных данных.
5. Следить за уровнем защиты информации.

И последнее, для обеспечения работы с персональными данными на должном уровне, на предприятии и в организации должны имеется следующие документы:

• Положение о персональных данных.
• Приказ о назначении ответственных за обеспечение безопасности персональных данных.
• Приказ о назначении ответственных лиц за работу с персональными данными.
• Договоры и дополнительные соглашения с работниками об обработке персональных данных.
• Заявления работников на обработку персональных данных.

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

1. сбор;
2. уточнение;
3. систематизация;
4. использование;
5. удаление;
6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

• Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
• Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
• Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

1. должность руководителя и наименование организации, которую он возглавляет;
2. ФИО руководителя;
3. должность работника;
4. ФИО работника;
5. дата;
6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

• установления диагноза;
• профилактики заболевания;
• оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

1. Оказание консультационных, информационных и посреднических услуг.
2. Заключение и исполнение договора с клиентом.
3. Ведение кадровой работы и бухгалтерских услуг.
4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

• Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
• Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
• Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
• Обеспечение личной безопасности работника и сохранность имущества.
• Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
• Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
• Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

1. Открытие и ведение банковских счетов.
2. Перевод денежных средств по банковским счетам.
3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
4. Купля-продажа иностранной валюты.
5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

• Организация оказания медицинской помощи.
• Выписка льготных рецептов.
• Оплата счетов в системе ОМС и ДМС.
• Использования для статистики и при проведении научно-исследовательской работы.
• Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.