О безопасности персональных данных (С. Гулиева, "Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", N 1, январь 2008 г.)

О безопасности персональных данных

С 1 января 2007 года вступил в силу Федеральный закон от 07.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), который регулирует отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти РФ и ее субъектов, а также юридическими и физическими лицами с использованием средств автоматизации и без них. Постановлением Правительства РФ от 17.11.2007 N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Постановление N 781).

В данной статье рассмотрены меры безопасности при работе с персональными данными, которые должен предпринять руководитель учреждения во избежание уголовной и административной ответственности.

Конфиденциальные сведения

Оформляя сотрудника на работу, работодатель использует информацию о нем, а именно:

- его фамилию, имя, отчество;

- год, месяц, дата и место рождения;

- адрес;

- семейное, социальное, имущественное положение;

- образование;

- профессию;

- доходы и др., которая в соответствии со ст. 2 Закона о персональных данных является персональными данными.

Данный перечень не является закрытым, в него можно включить практически все сведения о работнике, получаемые работодателем.

Помимо этого ст. 10 и 11 Закона о персональных данных установлены специальные категории данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся:

- расовой, национальной принадлежности;

- политических взглядов, религиозных или философских убеждений;

- состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека.

Условия обработки данных

Совершая хозяйственные операции, работодатель использует персональные данные сотрудников при начислении зарплаты, удержании НДФЛ, расчете взносов в ПФР, передает их с помощью средств автоматизации.

Обратите внимание: согласно п. 1 ст. 6 Закона о персональных данных обработка данных возможна только с согласия работника.

Поэтому, оформляя сотрудника на работу, работодатель обязан потребовать от него письменное заявление о его согласии на обработку своих данных, в котором он должен указать:

- фамилию, имя, отчество, адрес, номер документа, удостоверяющего личность, сведения о дате его выдачи и органе, его выдавшем;

- наименование и адрес учреждения, получившего согласие на использование персональных данных;

- цель обработки данных;

- перечень персональных данных, на обработку которых работник дал согласие;

- перечень действий, на которые дается согласие, общее описание используемых учреждением способов обработки сведений;

- срок согласия, а также его прекращения (п. 4 ст. 9 Закона о персональных данных).

Согласие работника не требуется, когда обработка данных:

- проводится в целях исполнения договора, одной из сторон которого является данный работник, то есть не нужно дополнительное разрешение на выписку доверенностей, если это связано с исполнением его трудовых обязанностей, указания данных в приказах, расчетно-платежных, инвентаризационных ведомостях, товарных накладных и т. д.;

- ведется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;

- необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получить его согласие на обработку данных невозможно;

- нужна для доставки почтовых отправлений организациями почтовой связи, расчетов операторами электросвязи с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- ведется в рамках профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности при условии, если не нарушаются права и свободы субъекта (п. 2 ст. 6 Закона о персональных данных).

Кроме того, не требуется согласие физического лица на обработку данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных кандидатов на выборные государственные или муниципальные должности, а также лиц, замещающих государственные должности, должности государственной гражданской службы.

При обработке персональных данных работников в связи с трудовыми отношениями работодателям следует руководствоваться гл. 14 ТК РФ.

Обязанности работодателя при работе с персональными данными

В соответствии с Постановлением N 781 и Законом о персональных данных работодатель, получивший доступ к персональным данным, должен обеспечить их сохранность и предотвратить несанкционированный доступ к информации. Для этого он обязан принять необходимые организационные и технические меры защиты, используя шифровальные (криптографические) средства, исключающие уничтожение, изменение, блокировку, копирование и распространение персональных данных. Использование и хранение биометрических данных вне информационных систем могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают ее сохранность.

Меры безопасности при работе
с персональными данными

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Для это работодатель устанавливает дополнительную сигнализацию в указанные помещения, в дверные проемы устанавливаются дополнительные замки, либо металлические двери

Лица, которые имеют доступ к информационным базам с персональными данными, заключают договор о неразглашении конфиденциальных сведений. На основании договора работодатель допускает их к обработке персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе работодателем или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

Запросы пользователей информационной системы на получение персональных данных, включая лиц, имеющих допуск, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) работодателя или уполномоченного лица.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления и устранения причин нарушений.

Ответственность за нарушение порядка обработки персональных данных

Согласно ст. 24 Закона о персональных данных на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

- за отказ в представлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное представление, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

- за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);

- за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность) лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

- незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);

- неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);

- неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Помимо административной и уголовной на работодателя возлагается и гражданско-правовая ответственность. Статьей 17 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным ее неправомерным использованием, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Однако не может быть удовлетворено требование о возмещении убытков, предъявляемое лицом, которое не приняло обязательных мер по соблюдению конфиденциальности информации или нарушило установленные законодательством РФ требования о ее защите.

С. Гулиева,

эксперт журнала "Учреждения физической культуры

и спорта: бухгалтерский учет и налогообложение"

"Учреждения физической культуры и спорта: бухгалтерский учет и налогообложение", N 1, январь 2008 г.