Москва
(495)240-82-20
Ростов-на-Дону
(863)219-77-00
   

Хранение и защита персональных данных в сети интернет

Хранение и защита персональных данных в сети интернет
07.07.2014
Доклад семинара «1С-Битрикс»: Веб для бизнеса

1. Понятие ПД, оператор ПД

2. Уведомление об обработке ПД

3. Получение и передача персональных данных

4. Обработка персональных данных

5. Как защитить персональные данные работников и клиентов

6. Хранение ПД

1. Понятие ПД, оператор ПД

Понятие ПД, оператор ПД

В соответствии со статьей 3 ФЗ-152 персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Согласно этому определению к персональным данным относится как любая информация о конкретном лице, так и информация, с помощью которой лицо можно идентифицировать, т.е. установить.

К таким данным относятся:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

В соответствии со ст. 9 ФЗ 152 оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Уведомление об обработке ПД

До начала обработки персональных данных оператор обязан представить в уполномоченный орган уведомление о намерении осуществлять такую обработку (ч. 1 ст. 22 Закона).

Не требуется представление уведомления в следующих случаях (ч. 2 ст. 22 Закона):

  1. обрабатываемых в соответствии с трудовым законодательством (п. 1 ч. 2 ст. 22 Закона);
  2. Уведомление об обработке ПД На практике данное основание является одним из самых распространенных исключений, позволяющим не подавать уведомление. Однако работодателям следует учитывать, что под него подпадают не все персональные данные работников, а только те, обработка которых осуществляется в соответствии с трудовым законодательством. На практике встречаются случаи обработки персональных данных работников в объемах (категориях) и целях, не предусмотренных трудовым законодательством, например, обработки сведений об имущественном положении, о судимости (за исключением случаев, указанных в ст. ст. 65, 349.1 ТК РФ). Кроме того, данное исключение не распространяется на персональные данные уволенных сотрудников (за исключением случаев, предусмотренных трудовым законодательством, например, ст. 64.1 ТК РФ); членов семей сотрудников, их детей (персональные данные которых могут иметься у работодателя, например, в связи с уплатой алиментов или предоставлением налоговых вычетов по НДФЛ). В указанных случаях операторы обязаны подавать уведомление, если отсутствуют иные основания для обработки персональных данных без его подачи (например, обработка персональных данных без использования средств автоматизации);

  3. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных.
  4. относящихся к членам (участникам) общественного объединения или религиозной организации, которые обрабатываются данным объединением (религиозной организацией), действующим в соответствии с законодательством РФ, в целях, предусмотренных учредительными документами.
  5. сделанных субъектом персональных данных общедоступными (п. 4 ч. 2 ст. 22 Закона);
  6. включающих в себя только фамилии, имена и отчества субъектов персональных данных (п. 5 ч. 2 ст. 22 Закона);
  7. необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или аналогичных целей (п. 6 ч. 2 ст. 22 Закона);
  8. включенных в информационные системы персональных данных, имеющих в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 Закона);
  9. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных (п. 8 ч. 2 ст. 22 Закона).

Обработка персональных данных без использования средств автоматизации является еще одним из распространенных оснований, при которых она может осуществляться без представления уведомления. Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее - Положение). При соблюдении требований данного Положения подача уведомления согласно п. 8 ч. 2 ст. 22 Закона не требуется.

Если средства автоматизации (вычислительная техника, компьютеры) при обработке персональных данных не используются вовсе, уведомление об обработке персональных данных подаваться не должно (при соблюдении особенностей организации обработки данных, установленных в разд. II Положения). Однако при нынешней распространенности электронно-вычислительной техники она очень часто задействована в обработке персональных данных. Критерии, при которых такая обработка признается (либо не признается) неавтоматизированной, сформулированы в п. п. 1 и 2 Положения. Согласно п. 1 данного Положения считается неавтоматизированной обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из нее, если обработка ПД осуществляются при непосредственном участии человека. Кроме того, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 Положения).

Однако, в настоящее время большинство компаний используют автоматизированные системы учета кадров и расчета заработной платы, например, программу 1С зарплата и кадры. Позиция Роскомнадзора и некоторых судов сводится к тому, что обработка ПД в информационной системе 1С является обработкой ПД с использованием средств автоматизации.

Так в Постановлении четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу N А19-25289/2009 определяя 1С как автоматизированную систему обработки персональных данных высказал следующую позицию:

Программный продукт прикладной системы "1С: Зарплата и управление персоналом" предназначен для автоматизации расчета заработной платы и ведения кадрового, бухгалтерского и налогового учета на предприятиях различных типов финансирования и форм собственности, в частности, работодатель использует персональные данные сотрудников при начислении зарплаты, удержании налога на доходы физических лиц, расчете страховых взносов на обязательное пенсионное страхование и передает их с помощью средств автоматизации.

Формирование расчетного документа по заработной плате происходит после подачи команды рассчитать (путем нажатия на соответствующую опцию специалистом банка) и осуществляется автоматически системой "1С: Зарплата и управление персоналом". При этом она без участия человека обращается к своей базе данных, хранящих соответствующие персональные данные субъектов, систематизирует и выдает по установленному алгоритму результат расчета. Только после этого соответствующий специалист распечатывает расчетный документ, который в дальнейшем порождает юридические последствия для субъекта. Аналогичный процесс происходит при расчете и удержании налога на доходы физических лиц.

При приеме на работу после занесения всех необходимых данных на работника прикладная система "1С: Зарплата и управление персоналом" автоматически формирует Анкету формы Т2 на работника. Прикладная система "1С: Зарплата и управление персоналом" также производит самостоятельно исчисление трудового стажа при помощи заданных алгоритмов и хранящихся персональных данных в базе данных прикладной системы "1С: Зарплата и управление персоналом".

В перечисленных случаях совершаются такие действия как сбор и использование персональных данных оператором. В связи с чем, суд первой инстанции обоснованно отклонил доводы заявителя о том, что сбор персональных данных осуществляется без использования средств автоматизации

Таким образом, можно сделать вывод, что в случае обработки ПД работников в 1С подача уведомления об обработке ПД НЕОБХОДИМА.

Но есть и иная позиция:

Четвертый арбитражный апелляционный суд в постановлении от 01.10.2012г. по делу № А19-7241/2012 высказал позицию, что в случае обработки в автоматизированной системе 1С только ПД работников, подача уведомления не требуется, обосновав это следующим образом:

Судом первой инстанции установлено, что в целях использования во внутрихозяйственной деятельности ОАО "Иркутскэнерго" по лицензионному договору от 31 марта 2011 года приобретена автоматизированная система управления персоналом "БОСС-Кадровик"

Функциональным назначением данной системы являются: учет кадров и расчет заработной платы (организационный менеджмент, управление расстановкой и штатным расписанием, управление документооборотом, кадровый учет, планирование и управление рабочим временем, расчет заработной платы, формирование регламентированной отчетности для контрольных органов, формирование внутрифирменной отчетности); управление кадровыми процессами (управление рекрутингом, управление мотивацией, управление аттестацией и оценкой, управление карьерой, планирование и прогнозирование фондов оплаты труда, управление обучением и развитием, расчет затрат на мероприятия); расчет ключевых показателей и система поддержки принятия решений (анализ эффективности работы персонала).

Довод заявителя апелляционной жалобы о том, что если оператор осуществляет обработку персональных данных в рамках трудового законодательства, но с использованием информационных систем, то он обязан представить в уполномоченный орган уведомление, не основан на нормах права. Ни статьи 18.1 и 19 Закона о персональных данных, ни Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17.11.2007 N 781, на которые в обоснование своей позиции ссылается Управление Роскомнадзора, не позволяют сделать такого вывода.

Напротив, в части 2 статьи 22 Закона о персональных данных прямо предусмотрен перечень из 9 случаев, когда оператор освобождается от обязанности представлять в уполномоченный орган уведомление об обработке (о намерении осуществлять обработку) персональных данных. Одним из таких случаев является обработка персональных данных в соответствии с трудовым законодательством.

Таким образом, для обработки персональных данных, обрабатываемых в соответствии с трудовым законодательством, вне зависимости от того, каким способом она осуществляется - без использования средств автоматизации или с использованием информационных систем - в силу пункта 1 части 2 статьи 22 Закона о персональных данных не требуется уведомления уполномоченного органа (Роскомнадзора)…

Орган, в который подается уведомление

Уведомление об обработке персональных данныхУведомление об обработке персональных данных представляется в уполномоченный орган по защите прав субъектов персональных данных (ч. 1 ст. 22 Закона). Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор (п. 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 N 228).

Уведомление должно быть направлено в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту нахождения оператора (п. п. 2 и 4.1 Рекомендаций). Уведомление также может быть подано на сайте Роскомнадзора http://61.rkn.gov.ru/forms/.

Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения

Непредставление в уполномоченный орган уведомления об обработке персональных данных, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ.

Ответственность установлена в виде предупреждения или штрафа в размере:

  • для граждан - от 100 до 300 руб.;
  • для должностных лиц (в том числе индивидуальных предпринимателей - примечание к ст. 2.4 КоАП РФ) - от 300 до 500 руб. При этом согласно примечанию к ст. 2.4 КоАП РФ такими лицами являются руководители и иные работники организаций, выполняющие организационно-распорядительные или административно-хозяйственные функции;
  • для юридических лиц - от 3000 до 5000 руб.

Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 г., обязаны до 1 января 2013 г. представить в уполномоченный орган следующие сведения (ч. 2.1 ст. 25 Закона):

  • информацию о правовом основании обработки персональных данных (п. 5 ч. 3 ст. 22 Закона);
  • фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их телефонов, почтовые адреса и адреса электронной почты (п. 7.1 ч. 3 ст. 22 Закона);
  • сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки (п. 10 ч. 3 ст. 22 Закона);
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к их защите, установленными Правительством РФ (п. 11 ч. 3 ст. 22 Закона);
  • ни Законом, ни Регламентом, ни Рекомендациями не конкретизировано, каким образом должны быть представлены указанные сведения. Можно предположить, что они либо подаются в уполномоченный орган в том же порядке, что и информационное письмо об изменении сведений, содержащихся в реестре операторов, либо направляются в него в произвольной форме.

3. Получение и передача персональных данных

Получение ПД работников

Получение ПД работниковУсловия получения ПД содержаться в ст. 86 ТК:

При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

Все персональные данные работника следует получать у него самого.

Работодатель не вправе получать сведения о работнике относящиеся к специальным категориям персональных данных, а именно, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 4 ст. 86 ТК РФ, ч. 1 ст. 10 Закона о персональных данных).

Исключения из этого правила установлены в ч. 2 ст. 10 Закона о персональных данных.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

В уведомлении необходимо указать

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;
  2. по результатам обязательного предварительного медицинского осмотра (обследования) о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора);
  3. в объеме, предусмотренном унифицированной формой N Т-2 (утв. Постановлением Госкомстата России от 05.01.2004 N 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора);
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора).

Передача ПД работников

Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ).

Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

Не требуется согласие работника на передачу персональных данных:

  • третьим лицам в целях предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора);
  • в ФСС России, ПФР в объеме, предусмотренном законом (абз. 15 ч. 2 ст. 22 ТК РФ, п. 2 ст. 12 Федерального закона от 16.07.1999 N 165-ФЗ, п. п. 1, 2 ст. 9, п. п. 1, 2, 2.1, 3 ст. 11, абз. 2 ч. 2 ст. 15 Федерального закона от 01.04.1996 N 27-ФЗ, п. 2 ст. 14 Федерального закона от 15.12.2001 N 167-ФЗ, абз. 3 п. 4 Разъяснений Роскомнадзора);
  • в налоговые органы (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора);
  • в военные комиссариаты (абз. 4 п. 1 ст. 4 Федерального закона от 28.03.1998 N 53-ФЗ, пп. "г" п. 30, пп. "а" - "в", "д", "е" п. 32 Положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 N 719, абз. 5 п. 4 Разъяснений Роскомнадзора);
  • по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем (абз. 5 ч. 6 ст. 370 ТК РФ, п. 1 ст. 17, п. 1 ст. 19 Федерального закона от 12.01.1996 N 10-ФЗ, абз. 5 п. 4 Разъяснений Роскомнадзора);
  • по мотивированному запросу органов прокуратуры (п. 1 ст. 22 Федерального закона от 17.01.1992 N 2202-1, абз. 7 п. 4 Разъяснений Роскомнадзора);
  • по мотивированному требованию правоохранительных органов и органов безопасности (ст. 6 Федерального закона от 29.07.2004 N 98-ФЗ, п. 4 ч. 1 ст. 13 Федерального закона от 07.02.2011 N 3-ФЗ, п. "м" ч. 1 ст. 13 Федерального закона от 03.04.1995 N 40-ФЗ, абз. 7 п. 4 Разъяснений Роскомнадзора);
  • по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности (абз. 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора);
  • в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом (абз. 5 ст. 228 ТК РФ). Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;
  • в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку (ч. 5 ст. 11 Федерального закона от 09.02.2007 N 16-ФЗ, п. 8 Правил предоставления гостиничных услуг в Российской Федерации (утв. Постановлением Правительства РФ от 25.04.1997 N 490), абз. 4 п. 4 Разъяснений);
  • для предоставления сведений в банк, обслуживающий банковские карты работников при условии, что в договоре о выпуске карт (коллективном договоре, локальном нормативном акте организации) содержится пункт о праве работодателя передавать персональные данные работников, либо он действует на основании доверенности на представление интересов работников (абз. 10 п. 4 Разъяснений).

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно.

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  4. цель обработки персональных данных;
  5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  9. подпись субъекта персональных данных.

Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.

4. Обработка персональных данных

Согласно ст. 3 ФЗ 152 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обработка ПД может осуществляться двумя способами:

  • без использования средств автоматизации
  • обработка ПД в информационных системах ПД

Обработка персональных данных без использования средств автоматизации

Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.

Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Оператор обязан соблюсти меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, а именно:

  • обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
  • при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Обработка персональных данных в информационных системах ПД

Согласно п. 10 ст. 3 ФЗ 152 информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Согласно п. 4 ст. 10 автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687).

Однако, в настоящее время большинство работодателей используют для автоматизированные системы учета кадров и расчета заработной платы, например, информационную систему 1С зарплата и кадры (БОСС кадровик, Парус), которая относится к информационной системе, в которой ПД обрабатываются автоматизировано. Это означает, что к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки ПД, предусмотренные Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Согласно указанному Постановлению оператор, обрабатывающий ПД в информационных системах должен обеспечить безопасность персональных данных при их обработке в информационной системе с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Таким образом оператор самостоятельно определяет тип угроз, актуальных для информационной системы, в которой обрабатываются ПД, устанавливает уровень защищенности (всего 4 уровня защищенности) и принимает меры для соблюдения требований, предусмотренных для обеспечения установленного уровня защищенности.

Например, для установления 4 уровня защищенности (самого распространенного для оператора, который обрабатывает только ПД своих работников) необходимо следующее (п. 12 Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"):

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечение сохранности носителей персональных данных;
  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Дополнительно можно ознакомиться со статьей в журнале «Главная книга»:

"Главная книга", 2013, N 19

5. Как защитить персональные данные работников и клиентов

- Что это такое - актуальные угрозы?

- Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза - это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например, офисных, бухгалтерских, почтовых.

Что это такое - актуальные угрозы?Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы? - Какие еще бывают угрозы?

- Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

6. Хранение ПД

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского, налогового и кадрового учета.

Хранение ПДТак, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

В соответствии с "О бухгалтерском учете" N 402-ФЗ от 06.12.2011 первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.

Исходя из положений Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры РФ от 25.08.2010 N 558) документы кадрового учета относятся к документам долговременного хранения и сроки их хранения составляют 75 лет или постоянно. Согласно данному Перечню личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов, работников, имеющих государственные и иные звания, премии, награды, степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. Трудовые договоры, соглашения, не вошедшие в состав личных дел, должны храниться 75 лет. Также 75 лет хранятся личные карточки. Невостребованные трудовые книжки хранятся 75 лет. Согласие на обработку персональных данных также подлежит хранению в течение 75 лет.

Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона "О персональных данных", согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

Исходя из вышеизложенного, для соблюдения требования законодательства о защите ПД в организации должны быть в наличии следующие документы:

  1. Уведомление об обработке ПД
  2. Положение об обработке ПД
  3. Приказ о назначении ответственного за организацию обработки ПД
  4. Приказы об утверждении списка лиц, обрабатывающих ПД.
  5. Приказ об утверждении списка лиц, имеющих доступ к ПД
  6. Приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе
  7. Приказы об утверждении мест хранения (обработки) ПД
  8. Согласия субъектов ПД (работников, других физических лиц) на обработку ПД (при необходимости).
  9. Документы на основании которых осуществляется передача ПД третьим лицам или получение ПД от третьих лиц.
  10. Типовые формы документов характер информации, в которых предполагает или допускает включение в них ПД (включающие сведения согласно п. 7 Постановлению № 687).
  11. Журнал учета машинных носителей персональных данных.
  12. Обязательство о неразглашении ПД, подписанные у лиц, допущенных к обработке ПД.
  13. Документ, определяющий угрозы безопасности ПД при их обработке в информационных системах ПД
  14. Перечень организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД
  15. Документ, определяющий эффективность принимаемых мер по обеспечению безопасности ПД при их обработке в информационных системах ПД

Основные нарушения, выявляемые в ходе проведения проверок:

Основные нарушения
  1. Обработка персональных данных (в том числе передача третьим лицам) без согласия субъекта персональных данных или других законных оснований.
  2. Несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
  3. Несоответствие типовых форм документов, содержащих персональные данные, требованиям законодательства РФ.
  4. Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства РФ.
  5. Непредставление в уполномоченный орган уведомления об обработке персональных данных или предоставление уведомления, содержащего неполные сведения.

Перечень основных нормативных правовых актов в сфере обработки персональных данных:

  1. Конвенция Совета Европы 28.01.1981 О защите личности в связи с автоматической обработкой персональных данных.
  2. Федеральный Закон от 19.12.2005 № 160-ФЗ О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных.
  3. Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных.
  4. Федеральный закон от 27.07.2006 № 149-ФЗ Об информации, информационных технологиях и о защите информации.
  5. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (глава 14).
  6. Указ Президента РФ от 30 мая 2005 г. № 609 Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.
  7. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ (ст. 13.11, 13.14).
  8. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  9. Постановление Правительства РФ от 15.09.2008 № 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
  10. Постановление Правительства РФ от 21.03.2012 № 211 Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
  11. Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 № 312 и зарегистрированный в Минюсте России 13.12.2011 № 22595.
  12. Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций РФ от 21 декабря 2011 г. № 346
  13. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 05.02.2010 № 58 Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных (зарегистрирован в Минюсте России 19.02.2010).
  14. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены руководством 8 Центра ФСБ России от 21.02.2008 № 149/54-144).
  15. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 Центра ФСБ России от 21.02.2008 № 149/6/6-622).
  16. Рекомендации и собранная практика ИПС Консультант плюс