Персональные данные в организации

Ирина Андрианова

Эта книга – практический материал, который поможет сэкономить Ваше время, быстро сориентироваться в изменениях законодательства и разработать документы по персональным данным. В книге приведен обзор законодательства, алгоритм построения системы защиты персональных данных, примеры документов (политика, приказы, инструкции, согласия, уведомления, акты и др.).Для специалистов, ответственных за работу с персональными данными,руководителей организаций и учреждений.

© Ирина Андрианова, 2023

ISBN 978-5-0059-7035-0

Создано в интеллектуальной издательской системе Ridero

1. ОСНОВНЫЕ ПОНЯТИЯ, КЛАССИФИКАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЗОР ЗАКОНОДАТЕЛЬСТВА

Как организовать работу с персональными данными сотрудников, клиентов, контрагентов в организации? Какие документы по обработке и защите персональных данных должны быть разработаны и какими нормативно-правовыми актами необходимо руководствоваться?

Ответы на каждый из этих вопросов дают федеральные законы и другие нормативные правовые акты Российской Федерации, которые являются основанием для работы с персональными данными в любой организации (предприятии, учреждении).

Конституция Российской Федерации гарантирует каждому гражданину нашей страны право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ст. 23) и устанавливает запрет на сбор, хранение, использование информации о частной жизни человека без его согласия. На основании Конституции был создан Федеральный закон о персональных данных для обеспечения прав людей и защиты личных сведений.

1.1. Федеральный закон о персональных данных

Основной закон, регулирующий работу с персональными данными — Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее — ФЗ-152). В нем содержатся порядок работы с персональными данными, принципы и условия их обработки, требования к содержанию некоторых документов, например, согласий на обработку ПДн, права субъекта ПДн и обязанности оператора.

Основные понятия ФЗ-152 содержатся в статье 3.

Персональные данные (далее — ПДн) — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 ФЗ-152). Т. е. это информация, которая относится к конкретному человеку, например, ФИО, пол, возраст, дата рождения, номер телефона, адрес электронной почты и др. Однако, некоторые данные не являются ПДн сами по себе, а становятся таковыми только в совокупности с другими сведениями. Например, сам номер телефона без ФИО не является ПДн, т. к. идентифицировать человека в этом случае невозможно. А если организация обрабатывает и хранит данные в совокупности (ФИО, номер телефона, email), то и номер телефона и адрес электронной почты являются персональными данными. Также фамилия, имя, отчество являются персональными данными только в привязке к другим данным, например, паспортным (дата и место рождения, номер паспорта и тп).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн, т. е. оператором персональных данных являются все организации, учреждения, предприятия, которые собирают, распространяют, обрабатывают и хранят ПДн работников, а также клиентов и контрагентов (п.2 ст. 3 ФЗ-152).

Субъект персональных данных — это физическое лицо, которое идентифицируется с помощью конкретных ПДн, т. е. носитель этих данных. Законодательством предусмотрено 2 основные категории субъектов ПДн — работники организации и те, кто ими не является. К субъектам ПДн относятся: работники оператора, соискатели, бывшие работники, родственники работников; контрагенты и клиенты (физ. лица); законные представители, работники юр. лиц, являющихся клиентами, контрагентами оператора.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ 152). Т. е. обработка — это любые действия с персональными данными.

Например, сотрудник при трудоустройстве предоставил работодателю документы со сведениями о себе и своей трудовой деятельности. Сотрудник — это субъект персональных данных, работодатель — оператор, который собирает эти данные о сотруднике, хранит и анализирует, т.е. обрабатывает персональные данные конкретного работника.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения ПДн);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ-152).

1.2. Информационная система и виды обработки ПДн

Во многих организациях персональные данные обрабатываются в специальных кадровых, бухгалтерских и других программах, собираются и размещаются на сайтах компаний и др., а также обрабатываются в государственных информационных системах (ГИС).

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10 ст.3 ФЗ-152).

ФЗ-152 определяет следующие способы обработки персональных данных:

1) неавтоматизированная — обработка ПДн без использования средств автоматизации, т. е. вручную, когда сведения вносятся человеком. Особенности организации такой обработки ПДн, а также меры по защите ПДн обозначены в Постановлении Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В этом документе прописан порядок работы с материальными носителями ПДн и меры по обеспечению безопасности ПДн при такой обработке.

2) автоматизированная — обработка персональных данных с помощью средств вычислительной техники (компьютеров и других электронных устройств, баз данных, средств криптозащиты, программ, скриптов и тп. 9 (п. 4 ст.3 ФЗ-152). Состав и содержание мер по обеспечению безопасности персональных данных существенно больше, чем при неавтоматизированной обработке, и обозначены в приказе ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

3) смешанная — обработка сведений происходит и автоматизированным и неавтоматизированным способом.

Некоторые компании (например, турагентства) в ходе своей деятельности передают персональные данные за границу, т. е осуществляют трансграничную передачу ПДн — передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ФЗ-152).

Хранить ПДн организация может по-разному — и в электронном виде (на сервере или в облачном хранилище), и в бумажном (хранить документы в картонных папках в архиве). Бесцельно хранить и обрабатывать ПДн нельзя. Как только достигнута цель обработки, персональные данные необходимо уничтожить либо обезличить. Так, например, нельзя хранить в личном деле сотрудника копии паспорта, ИНН, СНИЛС, дипломов, военного билета и т. п. (эти документы хранят в личных делах госслужащих). При проверке инспектор может посчитать это излишнем и выпишет штраф, т. к. цель обработки этих персональных данных (трудоустройство сотрудника) уже достигнута и хранить эти сведения больше нет необходимости.

Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных (ст. 23 ФЗ-152). В Российской Федерации их 3:

— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Полномочия: защита прав субъектов персональных данных, контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ в области ПДн.

— Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Полномочия: контроль и надзор за организационными и техническими мерами защиты персональных данных.

— Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

1.3. Классификация персональных данных.

Категории персональных данных обозначены в пункте 5 постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП №1119). Всего их 4.

1) Общедоступные персональные данные — «данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей Федерального закона „О персональных данных“». Это могут быть фамилия, имя, отчество, год и место рождения, почтовый адрес, номер телефона, сведения о профессии, месте работы, квалификации, адрес электронной почты.

2) Специальные персональные данные — «данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных», например, рост, вес пациентов, информация о наличии, отсутствии судимостей. Такие сведения находятся в закрытом доступе в отличии от общедоступных. Правила обработки специальных данных регламентированы статьей 10 ФЗ-152.

3) Биометрические персональные данные — «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных». Таковыми являются изображение лица (фото), образцы голоса человека, отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз и тп., но только в том случае, когда эти данные используются исключительно для идентификации личности. Например, если на проходной установлена камера с распознаванием лиц для идентификации сотрудников. Или в банке установлена система идентификации клиента с помощью отпечатков пальцев. Правила обработки биометрических данных прописаны в статье 11 ФЗ-152.

Также Перечень допустимых случаев обработки биометрии, используемой для идентификации, аутентификации физических лиц в информационных системах организации определен Постановлением Правительства РФ от 23.10.2021 №1815 (срок действия 01.03.2021 по 01.03.2028).

А в 2022 году принят еще один нормативный акт, в котором обозначены случаи и сроки использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн — Постановление Правительства РФ от 15.06.2022 №1067 (срок действия с 01.03.2023 по 01.03.2029). Таким образом, биометрические данные обрабатываются в единой системе при аттестации в вузах, оплате товаров и услуг на сумму до 1 000 руб., аутентификации клиентов в финансовых организациях при личном и дистанционном обслуживании, проходе на территорию госорганов и организаций, заключении договоров об оказании услуг связи через Интернет и др.

4) Иные персональные данные — остальные сведения, которые не относятся к трём другим категориям персональных данных, например, данные о заработной плате, стаже, о командировках и отпусках, о членстве в общественных организациях, клубах и тд. Объем и содержание Персональных данных должны соответствовать конкретным целям их обработки. Все персональные данные, независимо от их вида, должны обрабатываться только с согласия субъекта ПДн (его законного представителя) кроме случаев, предусмотренных законом. Контроль и защиту прав субъектов ПДн осуществляют уполномоченные органы РФ (регуляторы). Они проводят плановые и внеплановые проверки операторов (организаций, учреждений).

1.4. Другие федеральные законы в сфере защиты информации и работы с персональными данными

Требования к мерам по защите ПДн регламентирует не только ФЗ 152, но и другие нормативные акты РФ. Рассмотрим основные из них.

В ст. 86 Трудового кодекса Российской Федерации, утвержденного Федеральным законом от 30.12.2001 N 197-ФЗ (далее — ТК РФ) содержатся общие требования к работе с ПДн работников и гарантии их защиты. Согласно ТК РФ все персональные данные работника следует получать у него самого, при необходимости работодатель может затребовать ПДн у третьих лиц, но только если нет возможности получить их у самого работника. Перед таким запросом необходимо уведомить этого работника и разъяснить ему последствия отказа дать такое согласие. В уведомлении также обязательно указать цели, источники получения сведений и характер ПДн. Согласно ТК РФ работодатель обязан принимать меры по защите ПДн, разрабатывать соответствующие локальные нормативные акты и знакомить с ними под роспись работников.

Немаловажен в работе с информацией и Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — ФЗ-149). В нем обозначена основная терминология — понятие информации (конфиденциальной, общедоступной), сайта, поисковой системы и др, прописаны требования к защите информации, порядок ограничения доступа и ответственность за нарушение правил работы с ней. На этот документ ссылаются при составлении локальных нормативных актов по информационной безопасности в организации. В этом законе определяется работа всех информационных систем в российской Федерации, а в статье 14 содержится описание государственных информационных систем (ГИС).

Нельзя не отметить и Федеральный закон «Об электронной подписи» от 06.04.2011 N 63-ФЗ (далее — ФЗ-63), который дает ответы на вопросы о том, что такое электронная подпись, как ее использовать и какую юридическую силу она придает электронным документам. Документ определяет технические требования к каждому виду электронных подписей для подтверждения подлинности информации — простой, усиленной квалифицированной и усиленной неквалифицированной (ст. 5 ФЗ-63).

Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (далее — ФЗ-98) вводит понятие коммерческой тайны, а также определяет порядок работы с такого рода информацией и ответственность за нарушение закона.

«Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».

ФЗ-98 обозначает, какая информация не может относится к коммерческой тайне (например, информация об учредителе или количестве работников).

Организация вправе сама определить сведения, являющиеся коммерческой тайной и должна зафиксировать это в специальном документе — перечне информации, составляющей коммерческую тайну.

Согласно ФЗ-98 уполномоченные гос. органы могут затребовать такие сведения по веским причинам. В этом случае организация обязана предоставить данные.

Обладатель коммерческой тайны обязан защищать ее и вести учет должностных лиц, которые имеют к ней доступ. Лицо, виновное в разглашении такой информации, может быть уволено, оштрафовано или привлечено к уголовной ответственности.

В процессе построения работы с ПДн необходимо учитывать вид деятельности конкретной организации, ее структуру, особенности документооборота, применяемых информационных систем и другие факторы.

Так, Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ (далее — ФЗ-187) распространяется на работу организаций, предприятий, которые критически важны для жизни населения Российской Федерации и их простой, сбой в работе может существенно повлиять на безопасность и здоровье граждан. Сюда относятся предприятия топливной, оборонной, металлургической и химической, ракетно-космической промышленности, организации, учреждения в сфере науки, здравоохранения, энергетики транспорта и связи, банки, а также компании, которые обеспечивают работу выше перечисленных организаций (в т. ч. те, кто разрабатывает для них программное обеспечение).

В ст. 2 ФЗ-187 содержатся основные понятия:

«1) автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;

2) безопасность критической информационной инфраструктуры — состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;

3) значимый объект критической информационной инфраструктуры — объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;

4) компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

5) компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;

6) критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

7) объекты критической информационной инфраструктуры — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

8) субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».