Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Работа с персональными данными». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Определяемся с понятиями.
Российское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
- Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
- Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).
Общие правила, порядок действий, инструкция по работе с персональными данными в организации
Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.
Применение автоматизированных систем
В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119. Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.
Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:
- постановление Правительства РФ «Об утверждении…» от 06.07.2008 № 512, которое регламентирует порядок работы с биометрическими персональными данными;
- приказ Роскомнадзора «Об утверждении…» от 05.09.2013 № 996, определяющий методы обезличивания таких данных.
Необходимость применения конкретных мер для защиты информации определяется пунктами 6 и 7 обозначенных Требований исходя из степени ее важности, а также уровня потенциального вреда гражданам, который может быть нанесен при несанкционированном доступе к таким данным.
Обеспечение безопасности персональных данных при их обработке
Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:
– получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;
– привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
– отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
– устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Что первым проверит Роскомнадзор?
Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.
Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.
ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Состав Положения о персональных данных
Разделы данного документа содержат следующие необходимые подпункты:
- общие сведения;
- перечисление данных, считающихся персональными в конкретной компании;
- регламент применения данной информации;
- особенности доступа к этим сведениям;
- меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
- приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Определение, операторы, обработка
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Размытое определение, под которым можно трактовать все, что угодно. Здесь нужно, я специально выделил, руководствоваться прежде всего тем, что эта информация должна определять конкретное физическое лицо. То есть, это должен быть некий набор сведений, который позволяет с уверенностью идентифицировать конкретного человека. Сами по себе фамилия, имя, отчество не должны рассматриваться как персональные данные, потому что при абстрактной возможности существования полных тезок идентифицировать конкретное лицо не всегда возможно. А вот если фамилия, имя, отчество плюс дата рождения плюс место жительства плюс номер банковского счета — это уже определенный набор информации, который позволяет с уверенностью идентифицировать конкретного человека и уже, по идее, в совокупности это должно считаться персональными данными. Так ли всегда трактуют это определение на практике правоприменители, сотрудники Роскомнадзора? Не всегда. Но мы все-таки стараемся придерживаться разумных рамок.
Кто такие операторы персональных данных? Как я уже говорил, закон не делает различий между организационно-правовыми формами или формами собственности, закон оперирует термином «юридическое лицо», поэтому мы в полной мере подпадаем под определение персональных данных как некоммерческие организации. Поэтому сказать, что этот закон на нас не распространяется, нельзя. Из-под этого определения могут выходить только филиалы и представительства, в том числе, иностранных международных организаций — по закону они не имеют статуса юридического лица и поэтому еще могут поспорить, что не являются оператором персональных данных по определению этого закона. Но нас это не касается, мы все-таки говорим сегодня о деятельности российских некоммерческих организаций, российских юридических лиц.
У обработки данных должна быть цель
Закон говорит нам, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. То есть, невозможна обработка персональных данных, в отношении которых мы не можем сформулировать цель их обработки.
Самый яркий пример. Организация была наказана при проверке за то, что в офисе у кого-то на столе лежала копия чьего-то паспорта, и никто не мог вспомнить, что это за человек, и вообще какие отношения связывали организацию с этим человеком. Уже потом выяснилось, что просто кто-то забыл на столе. Соседка попросила снять копию, чтобы отнести в собес. В общем, сотрудник забыл. Проверяющий спрашивает: — Какова цель обработки персональных данных? Что это за человек? Подтвердите законность обработки персональных данных. И где согласие на обработку этих персональных данных? Естественно, эта организация ничего предъявить не смогла. Соответственно, сами себе, что называется, привнесли нарушение. И это тоже очень важный элемент.
Поэтому я всегда первым делом рекомендую организациям провести ревизию всех своих документов и определиться в отношении каждого документа, есть ли у вас цель обработки этих персональных данных. Если эти цели истекли давным-давно, то ничего этого у вас храниться не должно. Потому что, как говорит закон, обработка должна ограничиваться достижением. То есть, по сути, как только цель обработки персональных данных, для которой мы их собирали, достигнута, они у нас дальше храниться не должны. За исключением случаев, если это прямо предусмотрено законом.
Получение согласия
Закон устанавливает следующие случаи обработки персональных данных, когда вообще возможно их обрабатывать. Первое — можно обрабатывать персональные данные в случае наличия согласия субъекта. Это самый очевидный момент. То есть, если человек дал нам свое согласие, действует своей волей, в своем интересе, он желает установить с вами взаимоотношения и добровольно передает вам свои персональные данные, никаких вопросов к вам не будет, если вы не выходите за рамки этого согласия, о котором я только что говорил. В остальных случаях, которые закреплены в законе — вот мы сейчас будем продолжать — согласия не требуется.
Но все эти остальные случаи, когда согласие не требуется, большинство из них к нам не относится. Например, согласие требуется в случае исполнения международных договоров Российской Федерации — не про нас, да? Осуществление правосудия или исполнительное производство — мы здесь совершенно ни при чем. Предоставление государственных или муниципальных услуг. Вот, пятый пункт — заключение и исполнение договора стороной которого является субъект персональных данных. То есть, если у нас с человеком заключен любой договор — трудовой, договор оказания услуг, договор об осуществлении добровольческой деятельности, неважно — если стороной является субъект персональных данных, то, по идее, дополнительного согласия никакого не требуется.
Давайте разберемся, что нам необходимо сделать с целью выполнения требований законодательства.
Первое, что нам надо сделать, четко ответить на следующие вопросы:
— какой набор персональных данных мы обрабатываем (например, фамилия, имя, отчество (заметьте не ФИО, а каждый реквизит в отдельности), адрес, сведения об объектах недвижимости, принадлежащих на праве собственности (или ином праве), суммы платежей и т.д.);
— каковы цели обработки персональных данных (при этом, цели должны быть четко сформулированы, например: управление эксплуатацией жилого и нежилого фондов; ведение реестра собственников помещений в соответствии с ЖК РФ; ведение списка членов ТСЖ «НАЗВАНИЕ», осуществление расчетов с потребителями коммунальных услуг в рамках заключенных договоров; обработка персональных данных работников ТСЖ «НАЗВАНИЕ» в соответствии с ТК РФ). Почему тут нет ничего о ПДн, обрабатываемых при паспортном учете? Автор придерживается позиции о том, что ведение паспортного учета сотрудниками ТСЖ, УК после упразднения ФМС России и обновления редакции Административного регламента по учету граждан МВД от 31.12.2017 №984 не целесообразно, т.к. гораздо дешевле и практичнее осуществлять все операции непосредственно собственникам напрямую в органах МВД или путем направления электронных заявок через портал Госуслуг, чем платить ежемесячно за услуги паспортного стола, ждать когда паспортист съездит в органы МВД. Для ТСЖ это платить зарплату паспортисту, оборудовать помещения паспортных столов в соответствии с требованиями МВД, выделять (и оплачивать) транспорт для путешествий паспортиста. Более того, с учетом положений нового Административного регламента паспортист выполняет функции приема-передатчика не более того, самостоятельно никакого учета он не ведет.
Что это значит?
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
За отсутствие на сайте политики конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а ООО — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.