Работа с персональными данными
Еще одна обильно бумажная, до недавнего времени, тема. Очевидно, что для нормального, с точки зрения контролирующих органов, функционирования предприятия, необходима, по меньшей мере, сотня различных журналов учета, не считая инструкций, распоряжений и предписаний. Пятая часть из них с 2011 года приходится на бумаги, связанные с защитой персональных данных. Многие предприниматели, свернувшие свой бизнес на кризисный период, при возвращении на рынок столкнулись с кипой новых, подчас запутанных и противоречивых требований, требующих солидных и сравнимых с инвестициями на перезапуск бизнеса материальных вложений.
Юридическая сторона вопроса
Для рядового работодателя, имеющего дело только с персональными данными собственных сотрудников, основным руководством к действию будет глава 14 Трудового кодекса. Она закрепляет существовавшие на момент разработки кодекса требования при обработке персональных данных, гарантии их защиты, ограничивает передачу их третьей стороне и описывает права работников в целях обеспечения защиты хранящихся у работодателя персональных данных. В вопросах хранения и использования персональных данных кодекс отсылает читателя к специализированному законодательству и подзаконным актам, т.е. к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных"*(1). Особенных проблем соблюдение указанных в законе требований в этом случае не принесет.
Предприятия, обрабатывающие еще и персональные данные собственных клиентов, находятся в большем соприкосновении со 152-м ФЗ: в зависимости от объема и типа обрабатываемых персональных данных они обязаны обеспечить установленные Правительством РФ уровни защищенности последних и соблюдать требования к их защите.
Начнем разбирать вопрос по порядку, а итоговые последовательности действий, позволяющие быстро проверить, все ли в порядке у вашей организации в вопросах защиты персональных данных, мы разместим в разделе "Алгоритм", расположенный сразу за этой статьей.
Итак, если вы оперируете только персональными данными собственных сотрудников, вы делаете это с соблюдением ряда принципов:
1. Целесообразность и соразмерность обработки персональных данных и разделение их баз по цели обработки.
2. Определение объема запрашиваемых и обрабатываемых персональных данных на основании положений закона.
3. Получение персональных данных от самого их субъекта, т.е. из первых рук.
4. Запрет на получение и обработку специальных категорий персональных данных (ст. 10 ФЗ "О персональных данных") и данные работника о его членстве в общественных объединениях или его профсоюзной деятельности.
5. Защита персональных данных работника работодателем за свой счет.
6. Совместная выработка мер по защите персональных данных работниками и работодателем.
7. Закрепление порядка обработки персональных данных, прав и обязанностей работников и работодателя, а также их представителей, в локальных актах работодателя.
Запрет на получение и обработку специальных категорий персональных данных не распространяется на случаи обработки персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях и обработки персональных данных в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
Что же будет относиться с персональным данным, получаемым работодателем от своих работников? Для этого следует заглянуть в соответствующие статьи Трудового кодекса и учесть при этом профессию работника и вид деятельности работодателя.
Примечание. Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Специальные персональные данные - данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (фотографии, изображения радужки и папиллярных узоров пальцев).
Оператор - [...] юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
По общему правилу, в целях соблюдения трудового законодательства при приеме на работу, законодательства о воинской службе, налогового законодательства, заполнения работодателем первичной статистической отчетности, а также для целей социального и пенсионного страхования работник предоставляет работодателю следующие документы, содержащие персональные данные:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
в) страховое свидетельство государственного пенсионного страхования (СНИЛС);
г) документы воинского учета - для лиц, подлежащих воинскому учету;
д) документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
е) свидетельство о присвоении ИНН (при его наличии у работника);
ж) в случаях, предусмотренных законом, заключение по результатам прохождения медицинского осмотра;
з) водительское удостоверение или иные документы, подтверждающие наличие у работника тех или иных специальных прав, если это требуется в связи с выполнением трудовой функции работника;
и) справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с ТК РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
В процессе заполнения кадровой документации работодатель получает следующую информацию, содержащую персональные данные работника:
- общие сведения (фамилия, имя, отчество, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной подготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства (по паспорту и фактически) и о контактных телефонах;
- биометрические персональные данные (фотографии).
Далее, в процессе развития трудовых отношений, персональные данные будут включены в ряд документов, таких как:
- трудовые договоры и дополнительные соглашения к ним;
- документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении, в том числе анкеты, материалы собеседований с кандидатами на должность;
- приказы по персоналу и документы-основания для их вынесения;
- документы о прохождении обучения, стажировки, испытательного срока;
- документы о повышении квалификации (протоколы, справки, свидетельства и т.д.);
- документы, связанные с привлечением работника к дисциплинарной ответственности (служебные записки, докладные, объяснительные и прочие);
- документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
- документы о состоянии здоровья детей и других близких родственников, когда с наличием таких документов связано предоставление работнику каких-либо гарантий и компенсаций;
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством РФ;
- документы о беременности работника и возрасте детей для предоставления матери (отцу, другим родственникам) установленных законом условий труда, гарантий и компенсаций;
- лицевой счет и наименование банка, на который перечисляется заработная плата, справки о доходах физического лица. Персональные данные содержат также:
- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия и руководителям структурных подразделений;
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения;
- реестры сведений о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование и страховом стаже застрахованных лиц;
- расчеты по начисленным и уплаченным страховым взносам на добровольное и обязательное медицинское и социальное страхование на случай временной нетрудоспособности и в связи с материнством и по обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, а также по расходам на выплату страхового обеспечения;
- реестры на оплату пенсионных взносов, удержанных из заработной платы согласно заявлению и заключенным личным договорам негосударственного пенсионного обеспечения (НПО);
- ведомости на перечисление заработной платы;
- справки по месту требования;
- платежные поручения на перечисления удержаний из заработной платы.
В зависимости от специфики работы организации перечень документов и самих персональных данных может варьироваться в ту или иную сторону. Перечень персональных данных и их виды, цели обработки, перечень осуществляемых с ними действий, способы защиты, порядок допуска и меры ответственности для лиц, имеющих доступ к персональным данным указываются в локальном нормативном акте или локальных нормативных актах работодателя, посвященных вопросам обработки и защиты персональных данных. Поскольку для обработки персональных данных по общему правилу требуется согласие субъекта персональных данных (требуя фотографии работника или делая их самостоятельно, мы не можем не спрашивать согласия на обработку), целесообразно включить это согласие в соответствующие локальные акты, с которыми под роспись (собственноручную или электронную) знакомится соискатель при приеме на работу до подачи соответствующих документов.
Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Роскомнадзор настаивает на том, что в случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления. В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Субъект персональных данных, в том числе так и не ставший работником организации или физического лица-оператора персональных данных, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
Работники имеют право на:
1) полную информацию об их персональных данных и обработке этих данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований трудового кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Обработка персональных данных работников без их согласия по мнению Роскомнадзора*(2), если объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.
Кроме того, получение работодателем согласия на обработку персональных данных не требуется в следующих случаях, если:
1. Имеется обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации. Например, согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.
2. Проводится обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
3. Производится обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона "О персональных данных" в рамках трудового законодательства.
4. Персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. К примеру, передача персональных данных работников в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации осуществляется без их согласия.
Под исключения, связанные с отсутствием необходимости получения согласия, подпадают случаи передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
5. Производится обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.
С другой стороны, при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона "О персональных данных", в том числе, получить согласие работников на передачу их персональных данных.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.
Так, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.
Статья 17 Федерального закона от 21.11.1996 N 129-ФЗ "О бухгалтерском учете" определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.
Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона "О персональных данных", согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона "О персональных данных" не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
Теоретически, любой работодатель должен уведомлять Роскомнадзор о том, что собирается обрабатывать персональные данные. В уведомлении *(3), рекомендации по заполнению которого утверждены Приказом Роскомнадзора*(4), посылаемом в территориальный орган в бумажном виде, указываются цели, способы обработки и перечень персональных данных, которые планируется обрабатывать, категории субъектов персональных данных, указываются ответственные за обработку и меры по защите обрабатываемых данных. На последних мы остановимся отдельно.
В случае, если оператор персональных данных обрабатывает не только данные собственных сотрудников, проблем у него прибавляется. Во-первых, на каждую категорию субъектов персональных данных нужно заводить отдельную базу, во-вторых, необходимо, соблюдая критерии отнесения объема обрабатываемых данных, обеспечивать их безопасность по принятым стандартам. Поскольку этапы внедрения системы защиты персональных данных, в известной степени, едины для всех операторов, мы продолжим с момента подачи уведомления.
Практическая сторона вопроса
Вообще при формировании списка требуемых персональных данных следует руководствоваться принципом сбора туристического рюкзака, т.е. получать не все персональные данные, которые нужны, а те, без которых нельзя. Если в поданном списке что-то изменится, Роскомнадзор следует просто уведомить о дополнениях или изменениях.
Содержание уведомления подразумевает, что на предприятии уже:
1. Сформирована юридическая база для работы с персональными данными.
2. Определены виды, цели, источники персональных данных.
3. Созданы безопасные информационные системы персональных данных, определены физические места их хранения.
4. Есть ответственные за обработку персональных данных, комиссия по классификации и по уничтожению персональных данных, орган криптографической защиты.
5. Все это образует политику организации в отношении персональных данных, которая опубликована для третьих лиц.
Инструкции, приказы и прочие банальные вещи в избытке можно найти в Интернете. При этом важно помнить о двух вещах: формулировки в них должны быть близки или прямо копировать имеющиеся в законе, инструкции должны касаться всех работников, допущенных к персональным данным и всех мест обработки последних. Это значит, что внося в список помимо генерального еще 15 человек, располагающихся в 10 кабинетах, мы должны в каждом из кабинетов определить места хранения персональных данных - сейфы, компьютеры с необходимым набором программного обеспечения и лиц, за эти места ответственных. Более того, необходимо конкретно указать приоритет доступа сотрудников к персональным данным, механизмы ограничения и отслеживания их деятельности и правила, по которым эти механизмы (ограничение физического доступа, парольная защита и т.д.) работают. Со всех необходимо собрать обязательства не разглашать персональные данные и предусмотреть в правилах внутреннего распорядка меры ответственности за нарушение этого запрета.
Необходимо обеспечить физическую защиту данных: установить сигнализации, обеспечить невозможность получить любой, даже случайный доступ лиц, не допущенных к обработке персональных данных, например, запретить оставлять на столах в отделе кадров пачки ксерокопий паспортов, разделить рабочие станции перегородками, защитить окна от подглядывания и т.д. Собственно в компаниях с небольшим оборотом и четкой структурой информационных потоков реализация защиты персональных данных будет наиболее затратной частью работы по приведению работы с ними в соответствие с требованиями закона, крупные же компании, особенно заросшие бюрократией, в полной мере ощутят на себе тяжесть расходов на анализ информационных потоков, выделения подпадающих под закон "О персональных данных" и реализацию мер по их защите. Поэтому любая работа должна на наш взгляд начинаться с оптимизации структуры сотрудников, имеющих доступ к тем или иным персональным данным, произведенной по принципу "пять человек делают работу десяти лучше, чем пятнадцать".
Роскомнадзор при проверке может потребовать не только списки персональных данных, но и просто сведения конфиденциального характера. Здесь все просто - сведения эти мы берем из Указа Президента РФ N 188 от 06.03.1997*(5).
Верхом образовавшейся в организации птицефабрики будут:
- журнал учета носителей информации информационной системы персональных данных;
- журнал учета мероприятий по контролю обеспечения защиты персональных данных;
- журнал учета обращений граждан - субъектов персональных данных о выполнении их законных прав;
- журнал периодического тестирования средств защиты информации;
- журнал учета средств защиты информации;
- журнал проведения инструктажа по информационной безопасности.
Примечание. Примерный перечень документов по защите персональных данных*(6)
- перечень сведений конфиденциального характера;
- инструкция администратора информационной безопасности;
- приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
- перечень персональных данных, подлежащих защите;
- приказ об утверждении мест хранения персональных данных;
- инструкция пользователей информационной системы персональных данных;
- приказ о назначении комиссии по уничтожению персональных данных;
- порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- план внутренних проверок режима защиты персональных данных;
- приказ о вводе в эксплуатацию информационной системы персональных данных;
- журнал учета носителей информации информационной системы персональных данных;
- журнал учета мероприятий по контролю обеспечения защиты персональных данных;
- журнал учета обращений граждан - субъектов персональных данных о выполнении их законных прав;
- правила обработки персональных данных без использования средств автоматизации;
- положение о разграничении прав доступа к обрабатываемым персональным данным;
- акт классификации информационной системы персональных данных;
- инструкция по проведению антивирусного контроля в информационной системе персональных данных;
- инструкция по организации парольной защиты;
- журнал периодического тестирования средств защиты информации;
- форма акта уничтожения документов, содержащих персональные данные;
- соглашение о неразглашении персональных данных;
- журнал учета средств защиты информации;
- журнал проведения инструктажа по информационной безопасности;
- инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
- приказ о перечне лиц, допущенных к обработке персональных данных;
- положение об обработке и защите персональных данных;
- план мероприятий по обеспечению безопасности персональных данных;
- модель угроз безопасности в информационной системе персональных данных.
Весь массив бумаг работает на одну цель - обеспечение безопасности персональных данных. Правительством РФ устанавливаются а) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; б) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; в) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Типологию информационных систем, обрабатывающих те или иные типы персональных данных, задает постановление Правительства РФ от 01.11.2012 N 1119*(7) и включает в себя информационные системы, обрабатывающие:
- специальные категории персональных данных;
- биометрические персональные данные;
- общедоступные персональные данные (перечень таких источников есть в статье 8 ФЗ-152);
- иные категории персональных данных;
- персональные данные сотрудников оператора (на них не распространяются требования по уровням защищенности);
- персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
Уровней защищенности информационных систем предусмотрено 4 и зависят они от типа обрабатываемых данных и их объема. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных для всех, настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Требования 4-го уровня являются базовыми и дополняются новыми по мере порядка роста уровня. В общем виде это выглядит так (см. таблицу на стр. 29):
Требования к уровням защищенности персональных данных
Каждый уровень характеризуется новыми требованиями и включает в себя требования, предъявляемые законом к предыдущим уровням защищенности персональных данных
1-й уровень |
- автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе - создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности |
2-й уровень |
- необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей |
3-й уровень |
- необходимо, чтобы было назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе |
4-й уровень |
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения - обеспечение сохранности носителей персональных данных - утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей - использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз |
Независимо от уровня защищенности любая система защиты персональных данных должна решать следующие задачи:
- управления доступом;
- регистрации и учета;
- обеспечения целостности;
- контроля отсутствия недекларированных возможностей;
- антивирусной защиты;
- обеспечения безопасного межсетевого взаимодействия информационных систем, задействованных в обработке персональных данных;
- обнаружения вторжений.
Следует помнить, что, по общему правилу, обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Собственно обработка персональных данных включает в себя два момента, суть и юридическое сопровождение которых вызывает некоторые вопросы. Это обезличивание и уничтожение персональных данных.
Первое понимается как действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Вопрос о методах обезличивания долго, до сентября 2013 года, висел в воздухе, пока не был разрешен Роскомнадзором*(8). Методов обезличивания всего 4:
метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
Реализация первого из вышеприведенных методов требует установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия; второго - выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта, при этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например); третьего - предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища, четвертого - разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
К свойствам обезличенных данных относятся:
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
- совместимость (возможность интеграции персональных данных, обезличенных различными методами);
- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
Собственно те или иные методы обезличивания имеют сильные и слабые стороны, которые надо учитывать при проведении обезличивания.
Методы обезличивания и их свойства
Метод | Обеспечиваемые свойства | Оценка | |||||||
Обратимость | Вариативность | Изменяемость | Стойкость | Возможность косвенного деобезличивания | Совместимость | Параметрический объем | Возможность оценки качества данных | ||
введения идентификаторов | полнота; структурированность; семантическая целостность; применимость. | + | + | - | - при доступе атакующего к справочникам идентификаторов | + | + | совпадает с исходным | + |
изменения состава или семантики | структурированность; релевантность; применимость; анонимность. | - | - | + | + зависит от реализации | - | - | Объем зависит от правил | - |
декомпозиции | полнота; структурированность; релевантность; семантическая целостность; применимость. | + | + | + | - при наличии информации о множестве субъектов и доступе к нескольким частям сведений | + | + | Зависит от правил и исходного числа подмножеств | + |
перемешивания | полнота; структурированность; релевантность; семантическая целостность; применимость; анонимность. | + | + | + | + зависит от правил | - | + | Зависит от правил | + |
После того, как вы выбрали метод обезличивания, необходимо прописать в локальных актах его процедуру. Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием. Допускается программная реализация процедуры различными способами и средствами, доступными Оператору.
Различные способы реализации одной процедуры должны обеспечивать одинаковые результаты. Описание процедуры обезличивания должно обеспечивать однозначную трактовку проводимых действий по обезличиванию/деобезличиванию и включает:
- алгоритмы обезличивания и деобезличивания;
- параметры процедур обезличивания/деобезличивания;
- оценку объема дополнительных данных (параметры процедуры) для проведения обезличивания;
- правила проведения процедуры и выбора значений параметров процедуры;
- характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.
Примечание. Процедура реализации метода введения идентификаторов
Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора.
Таблицы соответствия (дополнительные данные) создаются для каждого атрибута персональных данных, значения которых заменяются идентификаторами.
При обезличивании персональные данные в исходном множестве заменяются идентификаторами согласно таблице соответствия. Деобезличивание достигается обратной заменой идентификаторов на значения персональных данных по таблице соответствия.
На этапе реализации процедуры обезличивания определяются следующие параметры:
перечень таблиц соответствия (перечень атрибутов, для которых происходит замена значений идентификаторами);
правила вычисления идентификаторов - наборов символов, однозначно соответствующих значениям атрибутов персональных данных субъекта;
объемы таблицы соответствия - количество строк таблицы соответствия, содержащих идентификатор и соответствующее ему значение.
В качестве атрибутов, значения которых заменяются идентификаторами, как правило, выбираются атрибуты, однозначно идентифицирующие субъекта персональных данных.
Количество идентификаторов и объем таблиц соответствия, как правило, равны исходному количеству субъектов персональных данных. Возможны случаи, когда идентификатор вычисляется в зависимости от значения соответствующего атрибута.
Таблицы соответствия должны быть доступны ограниченному числу сотрудников Оператора.
Программное обеспечение, реализующее процедуру, должно обеспечивать внесение изменений и поддержку актуальности таблиц соответствия.
Примечание. Процедура реализации метода изменения состава или семантики
Процедура реализации метода должна содержать правила удаления либо замены значений персональных данных субъектов на новые значения, вычисляемые по заданным правилам.
При замене значений атрибутов на новые требуется устанавливать правила обратной замены, если это необходимо для деобезличивания.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
перечень атрибутов персональных данных, подлежащих удалению;
перечень атрибутов персональных данных, подлежащих замене на новые значения;
правила вычисления значений для замены (обратной замены) персональных данных субъектов.
Программная реализация процедуры должна обеспечить возможность внесения изменений и дополнений в состав обезличенных данных, динамическое вычисление значений для замены при занесении новых субъектов, проверку и поддержку актуальности данных.
Примечание. Процедура реализации метода декомпозиции
Процедура реализации метода по заданному правилу (алгоритму) производит разделение исходного массива персональных данных на несколько частей, каждая из которых содержит заданный набор атрибутов всех субъектов. Сведения, содержащиеся в каждой части, не позволяют идентифицировать субъектов персональных данных.
Деобезличивание осуществляется по заданному набору связей (используются таблицы связей, являющиеся дополнительными данными) между раздельно хранимыми частями.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
перечень атрибутов, составляющих подмножества персональных данных;
таблицы связей между подмножествами персональных данных;
адреса хранения подмножеств персональных данных.
Правила разделения исходного массива данных определяются таким образом, чтобы каждая из раздельно хранимых частей не содержала сведений, позволяющих однозначно идентифицировать субъекта персональных данных.
Программная реализация процедуры должна обеспечивать согласованное внесение изменений и дополнений во все подмножества и таблицы связей, поиск данных о субъекте во всех подмножествах, поддержку актуальности таблиц связей, проверку полноты данных (согласование подмножеств).
Примечание. Процедура реализации метода перемешивания
Метод перемешивания реализуется путем перемешивания отдельных значений или групп значений атрибутов субъектов персональных данных между собой.
Перемешивание проводится по установленному правилу.
Деобезличивание достигается с использованием процедуры, обратной процедуре перемешивания.
Для реализации процедуры необходимо определить алгоритм перемешивания и его параметры.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
набор параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания);
значения параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания).
Выбор параметров перемешивания зависит от алгоритма перемешивания, требуемой стойкости к атакам, и объема обезличиваемых персональных данных.
Программная реализация процедуры должна обеспечивать возможность внесения изменений и дополнений в состав обезличенных данных, добавление новых пользователей, поддержку актуальности данных и возможность повторного перемешивания с новыми параметрами без предварительного деобезличивания.
Более подробно процедура организации обработки обезличенных данных и правила работы с ними описываются в соответствующих Методических рекомендациях Роскомнадзора*(9). Там же приводятся примеры применения каждого из методов.
Второе понимается как действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется созданной оператором комиссией либо иным должностным лицом, назначенным оператором. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта об уничтожении персональных данных с отметкой в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Privacy policy
Она же "Политика в отношении защиты конфиденциальности частной информации", она же "Политика в отношении обработки персональных данных". Это публичный документ, отражающий принципы, цели и гарантии по защите персональных данных пользователей. В том или ином виде она имеется на всех сайтах крупных компаний и интернет-магазинов. Её содержание обычно состоит из ряда разделов, посвященных сфере действия политики (компания, её филиалы, веб-сайты и оффлайн-данные), целям предоставления персональных данных, перечню оных, некоторым особенностям предоставления данных в зависимости от места и способа их сбора (например, при заполнении форм на сайтах или личном обращении в компанию), способам защиты персональных данных. Обязательными разделами политики следует считать разделы о правах субъектов персональных данных, в том числе отдельных их категорий и способах обратной связи.
В политике совершенно не обязательно, как считают некоторые читатели, досконально указывать механизмы защиты персональных данных, которые вам предложит и реализует IT-специалист или компания, которую вы привлечете к работе.
На этом следует закончить. Помните, что обязанности по разработке, поддержке системы обработки персональных данных должны распределяться между юридическим и IT-отделами компании, не перегружайте айтишников юридической работой.
"Делопроизводство и кадры", N 3, март 2014 г.
-------------------------------------------------------------------------
*(1) Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.12.2013) "О персональных данных" // "Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451.
*(2) "Разъяснения" Роскомнадзора. Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" // Электронный ресурс URL: http://54.rkn.gov.ru/protection/p14241/.
*(3) Приказ Минкомсвязи России от 21.12.2011 N 346 "Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных" // "Бюллетень нормативных актов федеральных органов исполнительной власти", N 24, 11.06.2012.
*(4) Приказ Роскомнадзора от 19.08.2011 N 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных".
*(5) Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" // "Собрание законодательства РФ", 10.03.1997, N 10, ст. 1127.
*(6) По поводу проверяемых Роскомнадзором документов имеет смысл почитать тут: http://pd.rkn.gov.ru/inter-services/forum/dep47/topic1794/.
*(7) Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // "Собрание законодательства РФ", 05.11.2012, N 45, ст. 6257.
*(8) Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") // "Российская газета", N 208, 18.09.2013.
*(9) "Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013).
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "Делопроизводство и кадры"
Эксперты журнала: Андрей Шалаев, Дарья Кравец
Приглашенные авторы: Александр Лупу, Илона Оськина, Тамила Хуснутдинова, Татьяна Межуева
Учредитель и издатель ОАО "РОСБУХ"
Свидетельство о регистрации в качестве ПИ N ФС77-32261 от 9 июня 2009 г.
Адрес редакции: Москва, Б. Новодмитровская 14-2
Тел. (495) 648-61-85