Обеспечение сохранности персональных данных работников (Л. Сальникова, "Финансовая газета. Региональный выпуск", N 48, ноябрь 2008 г.)

Обеспечение сохранности персональных данных работников

Широкая доступность персональных данных о физических лицах может нанести им серьезный ущерб. Эти сведения могут быть использованы для мошеннических схем и других преступных действий со стороны недобросовестных покупателей "списков". Поскольку при трудоустройстве граждан работодателю становится известен широкий перечень сведений о работнике, включая паспортные данные, дату и место рождения, номера свидетельств пенсионного страхования и о присвоении ИНН, а также семейное и имущественное положение, порядок сохранения такой информации в тайне особенно актуален.

Понятие "персональные данные"

Согласно ст. 84 ТК РФ к персональным данным относится информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под обработкой персональных данных работника понимаются получение, хранение, комбинирование, передача или любое другое их использование. Она может осуществляться как с использованием средств автоматизации, так и без таковой.

Под информационными системами персональных данных понимается совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации. При этом в качестве технических средств могут использоваться:

средства вычислительной техники;

информационно-вычислительные комплексы и сети;

средства и системы передачи, приема и обработки персональных данных, в том числе средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации;

программные средства (операционные системы, системы управления базами данных и т.п.);

средства защиты информации, применяемые в информационных системах.

Однако обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что они содержатся в информационной системе персональных данных либо были извлечены из нее. Обработка считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Естественно, что в двух указанных случаях (с информационными системами и без них) обеспечение безопасности передачи информации будет существенно отличаться. Поэтому постановлением Правительства Российской Федерации от 17.11.07 г. N 781 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, а постановлением Правительством Российской Федерации от 15.09.08 г. N 687 - Положение об особенностях обработки персональных данных, осуществляемой без использования средств информатизации (вступило в силу 24 октября 2008 г.).

Обработка персональных данных без использования средств
автоматизации

Персональные данные при их обработке без использования средств автоматизации должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы:

о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации;

о категориях обрабатываемых персональных данных;

об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, необходимо соблюдать следующие условия:

типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации;

имя (наименование) и адрес оператора;

фамилию, имя, отчество и адрес субъекта персональных данных;

источник получения персональных данных;

сроки обработки персональных данных;

перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

общее описание используемых оператором способов обработки персональных данных;

типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных;

типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим:

сведения о цели обработки персональных данных;

способы фиксации и состав информации, запрашиваемой у субъектов персональных данных;

перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);

сроки обработки персональных данных;

сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

персональные данные субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если он не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, если же такой способ не допустим в связи с техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

В целях обеспечения безопасности передачи персональных данных, обрабатываемых человеком, устанавливаются следующие правила:

обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Обработки персональных данных с использованием
средств автоматизации

Безопасность персональных данных, обрабатываемых с использованием технических средств, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных. Такая система включает:

организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства;

средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных;

используемые в информационной системе информационные технологии.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационной системе осуществляется защита речевой информации и информации, обрабатываемой техническими средствами. Также защите подлежит информация, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Достаточность принятых мер по обеспечению безопасности персональных данных в информационных системах оценивается при проведении государственного контроля и надзора. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК России, ФСБ России и Мининформсвязи России.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают:

определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

учет лиц, допущенных к работе с персональными данными в информационной системе;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы защиты персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

Л. Сальникова,

юрист

"Финансовая газета. Региональный выпуск", N 48, ноябрь 2008 г.