
Что такое персональные данные?
За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других — прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.
У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.
А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.
Другой документ, где дается характеристика персональным данным, — это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные — это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.
Обязательное и добровольное предоставление данных
Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).
Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152
Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.
Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.
Является ли ваша компания оператором?
Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты — физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие
организации, любым лицам, то и оно — оператор.
Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора и указать цель обработки персональных данных.
Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.
Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством. Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).
Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.
При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.
Защита персональных данных
Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.
Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.
К мерам по внутренней защите персональных данных относятся следующие действия:
- ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
- назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
- утверждение перечня документов, содержащих персональные данные;
- издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
- ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
- рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
- утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
- утверждение порядка уничтожения информации;
- выявление и устранение нарушений требований по защите персональных данных;
- проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
Среди мер по внешней защите персональных данных следует выделить такие:
- введение пропускного режима, порядка приема и учета посетителей;
- внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
- общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
- список лиц, обрабатывающих персональные данные;
- приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;
- положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
- локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.
Иные организационные и технические меры, направленные на защиту персональных данных
Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:
- утверждение требований к помещению, где хранятся персональные данные.
Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.
В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;
- обеспечение программной защиты информационной системы организации.
При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).
Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;
- ведение журнала учета работы с персональными данными.
В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.