Понятие персональных данных основные требования к сбору защите и хранению

10.06.2018 Выкл. Автор admin

Особенности сбора и обработки персональных данных в Российской Федерации

Процесс обработки персональных данных любого гражданина прописан в Федеральном Законе № 152-ФЗ «О персональных данных». Первоначально данный закон был принят 27 июля 2006 года, и уже в последующем подвергался различным изменениям и дополнениям.

Закон «О персональных данных» регулирует отношения между государственными, муниципальными органами, физическими и юридическими лицами в сфере обработки и защиты личной информации, которые совершаются при помощи средств автоматизации или же без нее.

Цель этого закона заключается в обеспечении защиты свобод и прав граждан законными методами при обработке его личных данных, в том числе неприкосновенность частной жизни, семейной и личной тайн.

Какая организация попадает под требования Федерального закона «О персональных данных»?

Любая организация имеет возможность не регламентировать свои действия согласно главе 1 статьи 2 Федерального закона за № 152-ФЗ «О персональных данных», касающиеся обработки персональных данных, в таких случаях как:

1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3. Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
4. Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Когда же организация не попадает под вышеуказанные пункты, она должна в обязательном порядке подчиниться требованиям закона. Все остальные случаи, относящиеся к сбору, обработке и хранению персональных данных, регламентируются согласно Федеральному закону № 152 «О персональных данных». Практически все организации попадают под данные требования, так как почти все компании тем или иным образом производят обработку персональных данных своих сотрудников или других физических лиц. При этом все личные данные должны быть строго конфиденциальны.

Для того, чтобы риск претензий от владельцев персональных данных и государственных органов был минимальным, нужно выполнить комплекс работ, которые обосновывают необходимость обработки персональных данных. Также необходимо выполнить требования обеспечения конфиденциальности и при неавтоматизированной обработке, и в случае обработки персональных данных в информационных системах.

Персональные данные — что это?

В главе 1 статье 3 ФЗ «о персональных данных» имеется определение персональных данных:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Это может быть фамилия, имя отчество, адрес места жительства и электронной почты, контактные телефоны, место пребывания, вероисповедание, семейное положение, фотографии, сведения о родственниках и многое другое. Каждая организация, которая владеет подобной информацией, обязана защищать информационные системы, в которых должны храниться такие данные.

Сбор, хранение и обработка персональных данных

При необходимости получения персональных данных сотрудника или другого физического лица организация вправе собирать ее непосредственно у самого субъекта. Если же информацию можно получить только у третьих лиц, то субъект должен быть обязательно извещен, а также обязан дать свое письменное согласие на данную процедуру. В свою очередь, оператор обязан известить гражданина о целях, которые он преследует при получении и обработке его личных данных.

Все, что касается законных оснований обработки персональной информации, прописано в главе 2 статье 6 пункте 1 № 152 Федерального закона «О персональных данных»:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.

Организация обязана обеспечить конфиденциальность, имеющихся персональных данных согласно статье 7 Федерального закона «О персональных данных». Исключения составляют те случаи, когда персональные данные обезличены или когда они являются общедоступными.
В статье 8 указано, что могут быть общедоступные источники персональных данных. Они могут содержать фамилию, имя, отчество, страну и год рождения, адрес проживания, номер телефона, информацию о профессии или же другие персональные данные субъекта, которые он предоставляет со своего письменного согласия. К ним относятся, например, справочники или адресные книги. Данные сведения могут быть лишены доступности по решению субъекта или государственных уполномоченных органов.

Принципы и условия обработки персональных данных

В процессе обработки персональных данных каждая организация должна придерживаться принципов, которые прописаны в главе 2 статьи 5 Федерального закона «О персональных данных»:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия, которые должна соблюдать организация в процессе обработки персональных данных, прописаны в статье 6 Федерального закона «О персональных данных» и заключаются в том, что оператор при осуществлении обработки персональных данных субъекта, имеет право обрабатывать их только с его письменного согласия.
Однако, в некоторых случаях такое согласие не требуется. Так, например, если обработка персональной информации производится в различных научных и статистических целях с обязательным условием обезличивания персональных данных. Или же когда обработка личных данных необходима для здоровья, жизни или других жизненно значимых интересов субъекта таких данных.

Обязанности оператора персональных данных

Глава 4 статьи 18 Федерального закона за 3 152 «О персональных данных» содержит полную информацию о том, что входит в обязанности оператора по обработке данных.
Рассматривая ключевые моменты данной статьи закона можно выделить несколько наиболее важных принципов.

— проводить обработку персональных данных в соответствии с законом,
— иметь разрешение от владельца персональных данных в случаях предусмотренных законодательством,
— обеспечивать конфиденциальность,
— отвечать на все вопросы владельца, касающиеся его персональных данных, в поставленный законом срок,
— уничтожить персональные данные после того, как будут достигнуты сроки их обработки,
— извещать Управление Роскомнадзора на тему обработки персональных данных и о мерах, которые предпринимаются им для их защиты.

Также в данной статье говориться о том, что если владелец персональных данных отказывается предоставить персональную информацию, которую он обязан предоставить в соответствии с федеральным законом, оператор должен разъяснить владельцу о последствиях такого отказа.

Самостоятельная деятельность организаций при защите персональных данных

Сбор, обработка и защита персональных данных в Российской Федерации является лицензируемым видом деятельности. Разработка методик по защите персональной информации находится в ведении ФСБ России и ФСТЭК России.
Организация, в свою очередь, может лишь сделать часть таких работ. Например, осуществить сбор информации. Остальные работы требуют наличие лицензии на деятельность по технической защите конфиденциальной информации, а также на установку средств криптографической защиты.

Проверка деятельности по обработке персональных данных

Организация, которая проводит проверку на предмет законной обработки персональных данных, называется Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит государственный контроль и надзор за соблюдением требований действующего законодательства в сфере:
— СМИ, ТВР вещания и массовых коммуникаций — требования закона Российской Федерации за № 2124-1 от 27 декабря 1991 года «О средствах массовых коммуникаций», а также соблюдение лицензионных условий,
— связи — требования Федерального закона за № 126 от 7 июля 2003 года «О связи», а также подзаконных актов, в том числе действие лицензии и использование радиочастотного спектра,
— персональных данных — Федеральный закон от 27 июля 2006 года за № 152 «О персональных данных».

Правовым основанием для осуществления государственного контроля и надзора является Федеральный закон от 26 декабря 2008 года за № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Роскомнадзор проводит несколько видов проверок:

1). Плановая проверка.
Данная проверка может быть проведена на основании и в точно поставленные сроки, которые указаны в плане проверок, подготовленного Роскомнадзором и утвержденного прокуратурой. Согласно пункту 4 статьи 27 Федерального закона «О связи» такой вид проверки Роскомнадзор имеет право проводить не более чем один раз в 3 года.
В План проверок Роскомнадзора может попасть любая организация, занимающаяся обработкой персональных данных.
Основанием для проведения плановой проверки считается факт начала обработки оператором по обработке персональных данных, в том числе прохождение трех лет с момента государственной регистрации как оператора персональных данных или завершения проведения плановой проверки в отношении оператора по истечении трех лет с предыдущей плановой проверки.

Другие публикации:  Образец заявления на вычеты на детей 2018 образец

2). Внеплановая проверка.
Основаниями для проведения такого вида проверки можно считать:
— проверка исполнения предписания о ликвидации выявленного нарушения, которое было выдано раньше,
— выявление нарушений обязательных требований в результате систематического наблюдения,
— требование прокурора о проведении внеплановой проверки на основании поступивших материалов и обращений в органы прокуратуры от граждан, индивидуальных предпринимателей, юридических лиц, органов государственной и муниципальной власти,
— нарушения законных прав и интересов субъектов российской Федерации вследствие бездействия операторов, занимающихся обработкой персональных данных,
— приказ руководителя Службы, который издан согласно поручениям Президента Российской Федерации или Правительства Российской Федерации.
Проверка производится в срок не более 20 рабочих дней, но в то же время, в случае серьезных причин она может быть продлена на основании приказа руководителя Управления Роскомнадзора еще на 20 дополнительных рабочих дней.
Кроме того, проверочные мероприятия могут проводиться одним из нижеперечисленных методов:
а) выездные, т. е. проверка проходит по месту нахождения проверяемого.
б) документарные, письменный запрос оператора о предоставлении необходимых документов и информации. Если документы не были предоставлены, а предоставление их должно производится по закону в обязательном порядке, то это влечет за собой наложение штрафа. Если же административный штраф не был уплачен, он может быть увеличен в два раза.
в) систематическое наблюдение, производится без взаимодействия с лицом, которое проверяют, также от проверяемого лица не требуют никаких документов и информации. Государственные специалисты-инспекторы территориального Управления Роскомнадзора делают выводы о деятельности проверяемого, основываясь на его действия в отношении неопределенного круга субъектов.

Ответственность за незаконную обработку персональных данных

Оператор не должен допускать сбор, хранение, использование и распространение информации, касающейся личной и семейной жизни, тайной переписки, телеграфных, почтовых или иных сообщений, телефонных переговоров, если на то нет судебного решения или законного основания для этих действий.

Оператор не имеет права использовать персональные данные с целью причинения морального и имущественного ущерба гражданам, а также затруднения реализации их свобод и прав. Более того, оператор персональных данных не имеет права ограничивать права граждан Российской Федерации, используя при этом их персональную информацию, касающуюся национальной, расовой, религиозной, языковой или партийной принадлежностей.
Физические и юридические лица, которые в соответствии со своими полномочиями, владеют какой-либо частной информацией о гражданах, используют ее, нарушая при этом Федеральный закон «О персональных данных» несут ответственность за данное деяние согласно действующему законодательству Российской Федерации.

Те лица, которые своими действиями нарушили Федеральный закон «О персональных данных» несут гражданскую, административную, дисциплинарную, уголовную или иную ответственность, предусмотренную действующим законодательством Российской Федерации.

Кодекс об Административных Нарушениях (КоАП):

А) статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Данная статья влечет за собой предупреждение или же наложение административного штрафа на:
— граждан в размере от 300-500 рублей,
— должностных лиц в размере от 500-1000 рублей,
— юридических лиц в размере от 5000-10000 рублей.

Б) статья 13.12 Нарушение правил защиты информации.
Согласно этой статье административный штраф возлагается на нарушителей закона в размере от 500 до 30 тысяч рублей. Кроме того, к юридическим лицам может быть применена конфискация или административное приостановление деятельности сроком на 3 месяца.
В) статья 13.14 Разглашение информации с ограниченным доступом.
В соответствии с данной статьей возможно наложение административного штрафа на:
— граждан в размере от 4 до 5 тысяч рублей.

Г) статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль).
Нарушителям этой статьи грозит административный штраф в размере от 300 рублей до 500 тысяч рублей, или же дисквалификация сроком до 3 лет.

Уголовный кодекс (УК).

Статья 137 Нарушение неприкосновенности частной жизни.
В этой статье говорится о том, что за незаконное собирание или распространение информации о частной жизни субъекта, которая является его семейной или личной тайной, без его на то согласия или же распространение такой информации посредством средств массовой информации несет за собой ответственность в виде
— штрафа размером до 200 тысяч рублей или же в размере равном заработной плате за 18 месяцев,
— обязательных работ сроком до 360 часов
— исправительных работ сроком до 1 года,
— принудительных работ сроком до 2 лет,
— запрета заниматься определенной деятельностью сроком до 3 лет,
— ареста сроком до 2 лет.

Трудовой кодекс (ТК).

Статья 90 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Данная статья предусматривает наказание в виде увольнения или же возможности наказания согласно Уголовному кодексу Российской Федерации.

Требования к защите персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» требования к защите персональной информации считаются обязательными. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

С целью достижения вышеобозначенных целей, все организации которые осуществляют обработку персональных данных, должны придерживаться следующих требований:

— выполнять требования Федерального закона за № 152 «О персональных данных», обеспечив при этом все необходимые доказательства законности сбора и обработки персональной информации,
— обеспечивать защиту от несанкционированного распространения персональных данных,
— разрабатывать нормативные локальные акты и техническую организационную документацию, для обеспечения регламентированной обработки персональных данных,
— уведомлять Управление Роскомнадзора.

Для того, чтобы выполнять эти требования нужно выполнить следующие работы:

1. Провести изучение процессов сбора и обработки персональной информации в компании. А именно, в каком месте, и каком виде они обрабатываются, в каком месте хранятся, кто отвечает за это и имеет к ним доступ, что за источник персональных данных и тому подобные вопросы. Необходимо собрать полную информацию о всех процессах, связанных с личными данными.

2. Нужно разработать пакет документов, которые относятся к процессу обработки персональных данных, а именно
А. Акт категорирования,
Б. Концепция создания системы защиты персональных данных,
В. Модель угроз,
Г. Модель нарушителя,
Д. Техническое задание на построение системы защиты персональных данных,
Е. Технический проект (пояснительную записку технического проекта) по построению системы защиты персональных данных,
Ж. Организационно распорядительная документация.

В общем, количество документов в средней организации составляет около 80 штук, в том числе журналы учета и приказы.

3. Внедрить в организации технические средства защиты, согласно разработанной документации.

4. Провести оценку соответствия или же аттестацию информационных систем.

Аттестация и оценка являются специальными установленными документами, благодаря которым организация имеет возможность подтвердить то, что она выполняет все требования действующего законодательства Российской Федерации.

Основанием для разработки утвержденных документов операторов персональных данных является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК) и Федеральная служба безопасности Российской Федерации (ФСБ), что прописано в их нормативных методических документах и приказах.

Одним из таких документов является:

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 года за № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В данном приказе для всех организаций прописаны такие методы и способы защиты персональных данных от несанкционированного доступа как,
— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
— ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
— учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
— резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
— использование защищенных каналов связи;
— размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
— организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Основные методы и способы защиты данных от несанкционированного доступа в случае взаимодействия информационно-телекоммуникационных сетей международного информационного обмена и информационных систем включают:

— межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
— обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
— анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
— защита информации при ее передаче по каналам связи;
— использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
— использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы;
— фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
— периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
— активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
— анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
— использование атрибутов безопасности;
— создание канала связи, обеспечивающего защиту передаваемой информации;
— осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

В дополнительные требования для организаций включены:

— создание канала связи, обеспечивающего защиту передаваемой информации;
— аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
— обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
— обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

Обработка, порядок хранения и передвижения персональных данных

«Кадровик. Кадровое делопроизводство», 2012, N 1

ОБРАБОТКА, ПОРЯДОК ХРАНЕНИЯ И ПЕРЕДВИЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Как правильно организовать защиту персональных данных работников при сборе, обработке, хранении информации? Автор рекомендует набор локальных нормативных актов, сопровождающих эту деятельность кадровой службы.

Другие публикации:  Как правило подать на развод

Совсем недавно работе с персональными данными не уделялось должного внимания, а процедуры по их сбору, обработке, передачи и хранению практически никак не регулировались правом, а каждая компания старалась привнести что-то свое в реализацию данных процедур. Но с недавнего времени сохранности личных данных стали уделять должное внимание.

Словарь кадрового делопроизводства. Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита информации в службе персонала является обязательным направлением обеспечения информационной безопасности фирмы в части сохранения конфиденциальности персональных данных, которые формируются в процессе документирования трудовых правоотношений сотрудников с фирмой.

Впервые положения о защите персональных данных появились в ТК РФ. Определение персональных данных, а также их перечень содержатся в Законе от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011, далее — Закон о персональных данных).

Как видно, персональным данным дано довольно широкое определение, а сам перечень персональных данных не является исчерпывающим, следовательно, и иная информация, характеризующая человека, может быть отнесена к его персональным данным.

С начала 2011 г. требования соблюдения положений Закона о персональных данных в своей основной части стали действовать официально, даже с учетом переноса срока действия отдельных статей на середину 2011 г.

В соответствии с Законом о персональных данных все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны осуществить необходимые мероприятия по их защите.

На сегодняшний момент организациям не избежать проверок их деятельности в части реализации функций по обработке персональных данных, за невыполнение или ненадлежащие выполнение которых может наступить административная и даже уголовная ответственность.

ТК РФ не только установил понятие «персональные данные», но и определил порядок работы с ними.

Следовательно, сейчас уже просто необходимо задуматься о выстраивании механизма исполнения требований законодательства. При этом первостепенное значение приобретают локальные нормативные акты, которые должны определять порядок работы с персональными данными, регламентировать процессы сбора, обработки, поиска, использования, распространения, предоставления, хранения, уничтожения персональных данных лиц, находящихся в трудовых отношениях с организацией.

Следует внимательно ознакомиться с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687, а также Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 N 781.

Организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту персональных данных работников, являются: положение о службе кадров, должностные инструкции сотрудников, обрабатывающих персональные данные работников, другие документы. Нормативно-методическое обеспечение защиты персональных данных предполагает ряд организационных, инструктивных и методических документов, устанавливающих принципы, требования и способы предотвращения различного рода угроз персональной информации, которые могут возникнуть по вине сотрудников, конкурентов, злоумышленников и других лиц.

Словарь кадрового делопроизводства. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Положение о защите персональных данных является обязательным локальным нормативно-правовым актом организации, в котором отражаются предмет и направления защиты персональных данных.

В положении указываются:

— цель и задачи организации в области защиты персональных данных;

— перечень документов и сведений, содержащих персональные данные работников;

— сведения о работниках, относящиеся к персональным данным (адреса, телефоны, размер оплаты труда и т. д.);

— общие требования при обработке персональных данных и гарантии их защиты;

— существующий режим организации доступа к персональным данным и то, какие лица и в каком объеме имеют право на получение соответствующего доступа;

— каким образом работник имеет право знакомиться с имеющимися у работодателя персональными данными;

— порядок работы с персональными данными (сбор, обработка, хранение, уничтожение);

— правила передачи персональных данных работников;

— взаимные права и обязанности наемного сотрудника и работодателя в сфере передачи, хранения и обработки персональных данных;

— права работников по обеспечению защиты персональных данных, хранящихся у работодателя;

— ответственность за нарушение норм, регулирующих обработку и защиту персональных данных и правил работы с ними.

ООО «Автотрейд»
(наименование организации)

ПОЛОЖЕНИЕ
22.02.2011 N 12
________________________
место составления

О защите персональных
данных работников

УТВЕРЖДАЮ
Генеральный директор
(наименование должности)
______________ _____________
подпись, расшифровка подписи

«22» марта 2011 г.

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с законодательными актами в области защиты информации и персональных данных. Устанавливает порядок и условия получения, учета, обработки, передачи, хранения и защиты документов, содержащих сведения, отнесенные к персональным данным работников ООО «Автотрейд» (далее — Компании).

1.2. К актам, обязательным к исполнению в Компании, относятся: законодательство РФ в сфере защиты информации и персональных данных, а также принятые на его основании локальные нормативные акты Компании, в том числе и данное Положение.

1.3. Положение о защите персональных данных работников составляется начальником отдела по работе с персоналом, согласовывается с юридическим отделом и утверждается генеральным директором Компании.

1.4. Основой для разработки настоящего Положения послужили: ст. ст. 85 — 90 Трудового кодекса РФ, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011), ст. 2 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и п. 1 Перечня сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005).

1.5. Все работники Компании должны быть ознакомлены с настоящим Положением под роспись. Работниками считаются лица, работающие в Компании по трудовому договору.

1.6. Настоящее Положение вступает в действие с момента его утверждения и действует бессрочно, до замены его новым Положением.

2. Понятие и состав персональных данных

2.1. Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. К персональным данным работника Компании следует относить:

— сведения об образовании;

— размер заработной платы;

— сведения о трудовом и общем стаже;

— сведения о предыдущем месте работы;

— сведения о составе семьи;

— сведения о социальных льготах;

— сведения о воинском учете;

— адрес места жительства;

— содержание декларации, подаваемой в налоговую инспекцию;

— результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей.

2.3. В состав персональных данных работников также входят сведения, содержащиеся в следующих документах и копиях:

— подлинники и копии приказов по личному составу Компании;

— основания к приказам по личному составу Компании;

— личные дела и трудовые книжки сотрудников;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

— копии отчетов, направляемые в органы статистики;

— копии документов об образовании;

— рекомендации, характеристики, фотографии и т. п.

3. Обеспечение конфиденциальности

персональных данных работников Компании

В рамках установленных трудовых отношений между работником и Компанией последняя является Работодателем, а должностное лицо, выполняющее функции по работе с персональными данными сотрудников Компании, является ее официальным представителем.

Персональные данные работника Компании имеют статус конфиденциальной информации и подлежат разглашению лишь в случаях, установленных федеральным законодательством или по соглашению с работником Компании.

3.1. Порядок получения, обработки и хранения персональных данных работника Компании.

3.1.1. Персональные данные работника Компании должны быть получены только непосредственно от самого работника. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.

3.1.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.4. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.1.5. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

3.1.6. Если персональные данные о работнике возможно получить только у третьей стороны, работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. При этом работник должен быть уведомлен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере интересующих Работодателя персональных данных.

3.1.7. Работник также должен быть информирован и о последствиях отказа от представления письменного согласия на сбор и обработку его персональной информации (персональных данных).

3.1.8. Персональные данные работника не могут быть получены или обработаны третьей стороной в коммерческих целях без письменного согласия работника и могут быть сообщены третьей стороне только в случаях, когда это необходимо в целях предупреждения угрозы здоровью и жизни работника, а также выполнения служебных решений.

3.1.9. Персональные данные работников Компании обрабатываются и хранятся в отделе по работе с персоналом и бухгалтерии Компании.

3.1.10. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на последующее хранение как в документальной форме (на бумажных носителях), так и в электронном виде (электронные носители, базы данных).

3.1.11. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2. Порядок доступа к персональным данным работника в Компании.

3.2.1. Доступ к персональным данным работника имеют:

— генеральный директор ООО «Автотрейд»;

— начальник отдела по работе с персоналом ООО «Автотрейд»;

— главный бухгалтер ООО «Автотрейд».

3.2.2. Доступ к персональным данным для других сотрудников Компании возможен только на основании письменного разрешения генерального директора ООО «Автотрейд».

3.2.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела по работе с персоналом ООО «Автотрейд».

3.2.4. Доступ к электронным базам данных, содержащим персональные данные работников Компании, обеспечивается 2-уровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются администратором баз данных и администратором сети соответственно и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Изменение паролей происходит еженедельно. Порядок и периодичность установки (изменения) паролей, порядок доступа к базам данных, содержащим персональную информацию о сотрудниках, регламентируются соответствующими положениями Компании.

4. Права и обязанности работника

4.1. Работник обязан предоставить Работодателю достоверные сведения о себе.

4.2. Работники организации имеют право:

— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащих персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

— получать полную информацию об имеющихся в Компании своих персональных данных и их обработке;

— требовать от Работодателя исключения или исправления неверных или неполных персональных данных;

— требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжаловать в суд неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

5. Права, обязанности и ответственность Работодателя

5.1. Работа с персональными данными работников должна не нарушать требований законодательства РФ и локальных нормативных актов Компании и быть непосредственно связана с осуществлением представителями Работодателя своих трудовых функций.

5.2. При сборе и обработке персональных данных работника Работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

5.3. При приеме на работу, а также при любых изменениях правил работы с персональными данными Компания обязана письменно ознакомить с ними всех работников Компании.

Другие публикации:  Договор на выполнение проектно-сметной документации

5.4. Защита персональных данных работника должна обеспечиваться полностью за счет Работодателя.

5.5. Сотрудники и должностные лица Компании, указанные в п. 3.2.1 настоящего Положения, несут дисциплинарную и административную ответственность за разглашение информации, содержащей персональные данные работников Компании, а также административную ответственность, согласно ст. ст. 5.27 и 5.39 КоАП РФ, за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника.

5.6. Работодатель также обязан возместить работнику ущерб, причиненный неправомерным использованием информации, содержащей его персональные данные.

Начальник отдела по работе с персоналом _______ О. П. Староверов

(должность) подпись (расшифровка подписи)

Начальник юридического отдела _______ И. Д. Киселев

(должность) подпись (расшифровка подписи)

Каждый работник организации должен быть ознакомлен с положением под роспись.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению (как правило, среди этих лиц указаны работники кадровой службы, службы подбора персонала).

Допуск к конфиденциальной информации представляет собой процедуру оформления права сотрудника фирмы или иного лица на доступ к информации ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника или владельца информации на передачу ее для работы конкретному лицу.

С целью более детальной проработки методов организации работы с персональными данными в службах кадров полезно разработать технологические инструктивные документы, которые отличаются большим разнообразием и по своему назначению, составу и содержанию отражают систему защиты персональных данных работников организации. Среди них можно выделить основные регламентирующие документы, имеющие значение для любого предприятия и необходимые при использовании любой системы защиты персональных данных работников или отдельных элементов такой системы.

относящихся к персональным данным работников

Данный перечень подробно раскрывает персональную информацию, содержащуюся в комплексах кадровой документации.

Персональные данные о работниках содержатся в следующих комплексах кадрового делопроизводства:

— связанных с подбором персонала;

— сопровождающих процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т. п.);

— по анкетированию, тестированию, проведению собеседований с кандидатами на должность;

— устанавливающих трудовые взаимоотношения сторон (в коллективных и трудовых договорах, соглашениях);

— приказах по личному составу (в подлинниках и копиях);

— личных делах, трудовых книжках сотрудников;

— по планированию и организации работы службы;

— основаниях к приказам по личному составу;

— материалах по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и т. п.;

— отчетных, аналитических и справочных материалах, передаваемых руководству организации, руководителям структурных подразделений и служб (подлинниках и копиях);

— копиях отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения;

— справочно-информационном банке данных (учетном аппарате) по персоналу — картотеках, журналах, базах данных и др.

Инструкция по обеспечению безопасности

персональных данных работников

Инструкция по обеспечению безопасности персональных данных работников регламентирует:

— обязанности сотрудников кадровой службы при работе с персональными данными работников;

— порядок доступа сотрудников к документам и базам данных, содержащим персональные данные работников, оформление доступа;

— обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;

— порядок обеспечения персональных данных работников при проведении совещаний, заседаний и переговоров;

— требования к помещениям для работы с персональными данными работников;

— порядок приема, учета и контроля деятельности посетителей кадровых служб;

— требования к защите персональных данных работников в открытых публикациях, при интервьюировании и собеседованиях;

— организационное обеспечение защиты персональных данных работников при автоматизированной обработке и передаче по линиям связи, при использовании в обработке документов средств организационной техники;

— ответственность сотрудников кадровых служб за разглашение персональных данных работников и утрату документов, содержащих персональную информацию о работниках.

Перечень может быть разделен на несколько частей:

— общую методическую часть по способам составления перечня и правилам работы с ним;

— списки персональных данных по структурным подразделениям службы кадров или управленческим функциям;

— список видов документов и баз данных, содержащих персональную информацию, с указанием места и сроков их хранения.

Инструкция по обработке, хранению и движению документов

Инструкция по обработке, хранению и движению документов, содержащих персональные данные работников организации, регламентирует работу сотрудников кадровых служб, обрабатывающих персональные данные работников. В основных разделах Инструкции, как правило, описывается структура документооборота, содержащего персональные данные работников, определяются порядок составления, учета, изготовления и издания документов, содержащих персональные данные работников, копирование и размножение документов. В инструкции также указываются порядок приема, регистрации и контроля исполнения документов, порядок систематизации документов и формирования и хранения дел, правила хранения и использования бланков документов кадрового делопроизводства, печатей и штампов.

В инструкции необходимо описать процедуры проверки наличия документов, дел, баз данных и информационных носителей, содержащих персональные данные работников. В приложении к инструкции могут быть даны учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов, содержащих персональные данные работников.

Методические документы детализируют процессы защиты персональных данных работников, устанавливают порядок работы с персональными данными и документами. При необходимости они могут составляться по каждому отдельному сотруднику. Например, Правила работы менеджера по персоналу могут регламентировать:

— обязанности менеджера в области защиты персональных данных работников и организации работы с сотрудниками, обладающими секретами фирмы;

— организацию и документирование приема сотрудников на работу;

— организацию и документирование переводов сотрудников на другие должности и изменения условий контрактов;

— порядок формирования и ведения личных дел и трудовых книжек сотрудников;

— порядок ведения справочно-информационного банка данных по персоналу фирмы;

— организацию и документирование увольнений сотрудников;

— контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией;

— правила и методы защиты персональных данных;

— порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных;

— порядок психологического тестирования, анкетирования, инструктирования и обучения персонала;

— принципы и направления формирования нормального психологического климата в коллективе;

— ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации.

Рассмотренные нормативно-методические документы обязательно подлежат утверждению руководителем организации, на них должны стоять визы согласования с заинтересованными лицами и подтверждение ознакомления с документами.

В соответствии со ст. 9 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011, с изм. от 21.07.2011) персональные данные представляют собой информацию ограниченного доступа. Кроме того, персональные данные указаны в Перечне сведений конфиденциального характера, утв. Указом Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера».

Конфиденциальность персональных данных означает, что лицо, имеющее к ним доступ, не должно подвергать данные распространению без согласия субъекта персональных данных или иного законного основания.

В соответствии со ст. 85 ТК РФ работающий гражданин предоставляет свои персональные данные работодателю лишь в том объеме, который предусмотрен законами и необходим для его трудоустройства. Заметим, что руководство не вправе требовать от кандидата на вакансию предоставления каких-либо сведений, касающихся его частной жизни. Такие сведения можно получить лишь у самого работника или с его письменного согласия и при условии, что они имеют непосредственное отношение к трудовой деятельности.

Кроме того, Закон о персональных данных устанавливает обязанность для любого лица, обрабатывающего персональные данные, получить согласие их владельца на такую обработку. Причем владелец персональных данных имеет право отозвать его в любое время. Согласие оформляется путем составления соответствующего заявления и заверяется личной подписью лица, чьи персональные данные используются. Стандартной формы Закон не устанавливает, поэтому текст может быть любым. Но в нем должно быть прямо прописано согласие на обработку персональных данных.

Руководителю ООО «Эльбрус»

от Орлова Игоря Игоревича

Согласие на обработку персональных данных

Настоящим во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» я, гражданин Орлов Игорь Игоревич, паспорт N 45 08 812145, выдан ОВД «Строгино» УВД ЗАО г. Москвы, 12 июня 2011 г., код подразделения — 772-037, адрес регистрации: 121100, Москва, ул. Праздничная, д. 1, кв. 5, даю свое письменное согласие обществу с ограниченной ответственностью «Эльбрус» (место нахождения: 163484, город Москва, ул. Новогиреевская, д. 111, стр. 1), а также его аффилированным, зависимым и дочерним компаниям и организациям, а также обособленным подразделениям на обработку моих персональных данных в целях _________________ (впишите цели обработки персональных данных: работа в компании, трудоустройство или иное). Настоящее согласие не устанавливает предельных сроков обработки данных.

Я уведомлен и понимаю, что под обработкой персональных данных подразумеваются сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение и любые другие действия (операции) с персональными данными.

Также под персональными данными подразумевается любая информация, имеющая ко мне отношение как к субъекту персональных данных, в том числе его фамилия, имя, отчество, дата и место рождения, адрес проживания, семейный статус, информация о наличии имущества, образование, доходы и любая другая информация.

Порядок отзыва согласия на обработку персональных данных мне известен.

(Ф. И.О. полностью, подпись)

«__» _______________ 201_ г.

Руководителю ООО «Эльбрус»

от Орлова Игоря Игоревича

Отзыв согласия на обработку персональных данных

15 декабря 2011 г.

Настоящим во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» я, гражданин Орлов Игорь Игоревич, паспорт N 45 08 812145, выдан ОВД «Строгино» УВД ЗАО г. Москвы, 12 июня 2011 г., код подразделения — 772-037, адрес регистрации: 121100, Москва, ул. Праздничная, д. 1, кв. 5, отзываю у общества с ограниченной ответственностью «Эльбрус» (место нахождения: 163484, город Москва, ул. Новогиреевская, д. 111, стр. 1) и его аффилированных лиц свое согласие на обработку персональных данных.

Прошу прекратить обработку персональных данных не позднее трех рабочих дней с даты поступления настоящего отзыва, а также уничтожить всю персональную информацию, касающуюся меня лично.

(Ф. И.О. полностью, подпись)

Использование персональных данных можно как разрешить, так и запретить (отказать в использовании). Отказ может повлечь не только запрет использования данных, но и их полное уничтожение.

Отзыв оформляется аналогично согласию, то есть в форме письменного заявления с личной подписью, которое необходимо лично представить непосредственно в ту организацию, которая получила ваши данные (работодатель, медицинское учреждение либо кадровое агентство), и именно с этой даты данные должны будут быть уничтожены не позднее трех рабочих дней.

Если какие-то сведения необходимо получить из других источников, организация должна поставить работника в известность об этом и заручиться его письменным согласием, а также разъяснить последствия при отказе дать такое согласие (п. 3 ст. 86 ТК РФ). Кроме того, письменное согласие сотрудника потребуется и на обработку биометрических персональных данных (например, на обработку фотографий работников), сведений о состоянии здоровья и некоторых других данных.

Работодатель также не вправе сообщать персональную информацию о работнике кому бы то ни было без его письменного согласия, кроме предусмотренных законом случаев. При получении у сотрудника согласия на передачу его персональных данных третьим лицам руководство обязано разъяснить работнику цель такой передачи данных. Например, обработка персональных данных с целью добровольного медицинского страхования работника.

Итак, система защиты персональных данных работников организации реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого сотрудника, специализирующегося на обработке персональной информации. Знание сотрудниками кадровых служб своих обязанностей по защите персональных данных работников является обязательным условием эффективности функционирования системы защиты персональных данных работников.

1. Весник В. Р. Управление персоналом. Теория и практика. М.: ТК «Велби», Проспект, 2008.

2. Трудовой кодекс Российской Федерации // [Электронный ресурс]: consultant. ru. Дата обращения 16.10.2011.