Вход
Неавтоматизированная обработка персональных данных (Е. Заяц, "Бухгалтерия и банки", N 9, сентябрь 2010 г.)
Неавтоматизированная обработка персональных данных
Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных*(1) Российская Федерация подписала в Страсбурге 7 ноября 2001 года и ратифицировала 19 декабря 2005 года*(2).
Персональные данные - любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Но, несмотря на то что основной целью конвенции является "обеспечение права на неприкосновенность личной сферы в связи с автоматизированной обработкой персональных данных"*(3), Российская Федерация заявила, что будет применять конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если её применение соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации*(4). Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации*(5) (далее - положение).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Согласно положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из неё.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.
Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.
Типовые формы также должны:
- при необходимости получения письменного согласия на обработку персональных данных содержать поле, в котором субъект персональных данных может поставить отметку о своём согласии на неавтоматизированную обработку персональных данных;
- быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться только со своими персональными данными;
- исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.
Уточнение персональных должно осуществляться путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.
Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.
При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.
Чтобы выполнить требования положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.
В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур - потеря доверия клиентов и падение конкурентоспособности.
Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.
В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.
В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.
Лучше установить строго определённый перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.
Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учётом требований положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.
В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.
Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объёмного пакета документов, которые должны содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.
Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространённых замечаний Роскомнадзора по результатам проверок операторов - это несоответствие типовых форм документов законодательству).
Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учёта, контроля доступа к ним и т.д.
Законодательством РФ предусмотрены следующие санкции:
- меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
- административное приостановление деятельности, приостановка действия или лишение лицензий;
- конфискация несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования;
- штрафные санкции;
- лишение права занимать определённые должности или заниматься определённой деятельностью;
- обязательные работы;
- исправительные работы;
- арест;
- лишение свободы на определённый срок;
- дисциплинарная и материальная ответственность.
При реализации требований Федерального закона "О персональных данных"*(6) необходимо помнить, что обработка персональных данных включает два аспекта: формирование информационной системы персональных данных и последующую обработку с использованием средств автоматизации или без использования таких средств.
При необходимости обработки персональных данных оператор должен выполнять определённую последовательность действий, в том числе уведомить по предусмотренной форме уполномоченный орган по защите прав субъектов персональных данных - Роскомнадзор - о намерении осуществлять обработку данных, удостовериться, что персональные данные получены с соблюдением требований законодательства и соответствуют заявленным целям обработки, т.е. данные получены либо из открытого источника, либо во исполнение федерального закона, либо с соответствующим согласием субъекта и т.д.
При этом не стоит забывать, что персональные данные относятся к категории конфиденциальной информации*(7) и могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.д.). В режиме личной тайны - сведения об особенностях личности, её пристрастиях, привычках, интересах. В режиме семейной тайны - сведения о взаимоотношениях членов семьи, в том числе родственных.
На этапе выбора конкретных мер по обеспечению безопасности персональных данных в зависимости от способа их обработки необходимо руководствоваться соответствующими нормативно-правовыми актами.
При этом следует обратить внимание на нечёткость в терминологии:
- закон *(8) не определяет понятие "автоматизированная обработка";
- в соответствии с положением обработка считается неавтоматизированной, если она осуществляется при непосредственном участии человека;
- в соответствии с ГОСТ 34.003-90 *(9) автоматизированным считается процесс, осуществляемый при совместном участии человека и средств автоматизации;
- конвенция же гласит, что "автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или (и) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение".
Возможно, чтобы понять разницу между автоматизированной и неавтоматизированной обработкой, необходимо обратиться к цели защиты персональных данных и причинам разделения этих понятий, которые заключаются в различии технологий, а соответственно, и в способах получения несанкционированного доступа к персональным данным в зависимости от способа их обработки. А ведь именно защита прав и свобод человека и гражданина при обработке его персональных данных является целью Федерального закона "О персональных данных".
В любом случае защиту персональных данных необходимо обеспечивать вне зависимости от способов обработки. Для того чтобы избежать негативных последствий, в том числе гражданской, уголовной и административной ответственности за нарушение требований по обработке персональных данных, сделать это нужно до 1 января 2011 года*(10).
Е. Заяц,
консультант по информационной
безопасности ЗАО "Диалог Наука"
"Бухгалтерия и банки", N 9, сентябрь 2010 г.
-------------------------------------------------------------------------
*(1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.81.
*(2) Федеральный закон от 19.12.05 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
*(3) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.81.
*(4) Федеральный закон от 19.12.05 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
*(5) Постановление Правительства РФ от 15.09.08 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
*(6) Федеральный закон от 27.07.06 N 152-ФЗ "О персональных данных".
*(7) Указ Президента РФ от 06.03.97 N 188 "Об утверждении Перечня сведений конфиденциального характера".
*(8) Федеральный закон от 27.07.06 N 152-ФЗ "О персональных данных".
*(9) ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".
*(10) Федеральный закон от 27.07.06 N 152-ФЗ "О персональных данных".
Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "Бухгалтерия и банки"
Журнал зарегистрирован Федеральной службой по надзору в сфере связи и массовых коммуникаций. Свидетельство о регистрации ПИ N ФС77-35433 от 25 февраля 2009 г.
Издается с 1996 г.
Учредитель: ООО Издательский дом "Бухгалтерия и банки"