Информация в современном мире оказывается наиболее востребованным товаром в даркнете, ее кража и перепродажа оказывается средством для успешного обогащения. Тема персональных данных стала обыденным явлением, Многие люди в обычной жизни регулярно сталкиваются с задачей подписать согласие на обработку или с запретом на публикации фотографий детей на школьных утренниках. Правила работы с ними регулируются законом «О персональных данных», исходя из него ряд полномочий по контролю работы организаций с ПД передан Правительству РФ, которое выпускает документы, описывающие требования к деятельности операторов.

Что поручено Правительству 

Обработка персональных данных обычно производится в локальных сетях компаний, иногда в облачных хранилищах и ключевые параметры архитектуры систем для защиты конфиденциальности устанавливаются ФСТЭК РФ. Но в случае, когда персональные данные анализируются не в рамках ИС, а фиксируются на бумаге – в анкетах, личных делах, опросных листах, применяются нормы Постановления Правительства № 687, принятого в 2008 году. Оно рассматривает основные моменты, связанные с ручным внесением сведений в документы. 

На практике работа с персональными данными без применения машинных способов только в документарном виде производится:

• в образовании, при работе с личными делами учащихся;
• в отделах кадров предприятий;
• при оформлении пропусков на объекты с усиленным охранным режимом;
• в учреждениях медицины при оформлении карт;
• при работе с гостайной.

Документ уточняет, что обработка персональных данных без применения средств автоматизации всегда осуществляется вручную, их анализ или систематизация производится человеком, а не машиной. Факт, что персональные данные какое-то время хранились в ИС и позднее выгружались, не меняет ситуацию.

Суть норм

Постановление регулирует узкую область обращения с персональными данными – их ручную обработку без применения машинной техники, без внесения в ИС или после выгрузки из них. 

Среди основных правил работы с персональными данными в ручном режиме:

• материальные носители персональных данных (формы, учетные регистры, журналы) должны хранится отдельно от материальных носителей с иной информацией. Для таких документов оформляются свои регистры учета и ведутся записи лиц, способных ознакомиться или скопировать их;
• запрещена фиксация на одном носителе персональных данных, цели обработки которых противоречат друг другу;
• сотрудники, выполняющие работу с персональными данными, должны быть извещены о сути выполняемой ими работы, ответственности за утечку или распространение иным способом. Информирование осуществляется путем обучения и знакомства с внутренней нормативной базой компании.
• 687-ПП вводит свои требования к созданию форм документации:
• каждая типовая форма, созданная для занесения в нее данных – анкета, личное дело, медицинская карта – должна содержать информацию о целях запроса персональных данных, идентифицирующие признаки оператора (ФИО или фирменное наименование), данные о правообладателе персональных данных, сроки хранения, перечень операций с персональными данными, описание способов работы с документами, содержащими персональные данные;
• типовая форма обязательно включает поле для подписи гражданина, согласного с условиями обработки его персональных данных. В одном стандартном формате объединяются два документа – непосредственно форма и согласие;
• формат структурируется так, что обладатель персональных данных мог бы ознакомиться с собственными, не видя сведений о других лицах;
• форма исключает объединение в одном поле данных, цели обработки которых несовместимы.

Отдельным моментом становится оформление пропусков на режимные объекты. 

Нормативный акт выдвигает следующие требования:

• если организация или охранная структура ведет журнал учета посетителей, принятые форматы, правила ведения журнала учета и ответственность за их нарушение должны быть описаны во внутренних документах. Нужно обязательно оговорить состав информации, запрашиваемой у посетителей, способы ее фиксации, перечень сотрудников организации и охранных структур, допущенных к ознакомлению с информацией, порядок подтверждения подлинности персональных данных или отказа от такого подтверждения;
• не разрешается копирование и распространение иным способом персональных данных, содержащихся в книгах учета;
• не допускается дублирование записей, заносимых в книгу учета.

Если персональные данные учитываются на материальных носителях, необходимо придерживаться следующих требований, которые снижают риски, связанные с тем, что персональные данные одного лица окажутся доступны другому:

• сведения, относящиеся к одному лицу или одной цели обработки ПД, копируются из оригинала документа на отдельный носитель, и оператор работает с персональными данными, имея на руках скопированную информацию;
• если содержащиеся на материальном носителе персональные данные должны быть частично уничтожены, оставшаяся часть копируется на другой носитель способом, исключающим возможность одновременного копирования информации, относящейся к другим лицам или иным целям.

Нормативный акт также говорит о необходимости придерживаться правил безопасности, при работе с персональными данными ручным способом. Необходимо обеспечить закрытый режим их хранения, ограничить к ним доступ, вести учет материальных носителей. При допуске к информации субъекта персональных данных вне обычной ситуации, а, например, при запросе гражданина об ознакомлении с его личным делом, информация должна также фиксироваться в специальных регистрах.

Правила защиты персональных данных

Нормативный акт обращает внимание операторов на следующие моменты работы с информацией вне информационных систем персональных данных:

• если работа с персональными данными производится без использования материальных носителей, то для каждой категории информации внутренние документы организации должны позволять точно определять место ее хранения и перечень лиц, которым разрешена ее ручная обработка;
• если обработка персональных данных, находящихся на материальных носителях, осуществляется в разных целях, носители должны храниться отдельно;
• хранение материальных носителей должно быть организовано таким образом, чтобы исключить несанкционированный доступ к ним.

На практике нормы 687 соблюдаются не всегда. Проверки Роскомнадзора должны подтвердить сохранность информации и защиту персональных данных, обрабатываемых ручным способом.

Политика работы с персональными данными

Большинство требований Постановления основывается на необходимости уточнить некоторые механизмы в локальных нормативных актах организации. Чтобы не создавать отдельный регламент каждый раз на одну операцию обработки персональных данных неавтоматизированным способом, можно описать все в одном документе о процедуре обработки ПД. При этом необходимо выделить в самостоятельные главы ручную обработку и обеспечение пропускного режима с учетом необходимости фиксации данных. 

Нужно переработать традиционную структуру политики:

• в разделе «Термины и определения» отдельно рассмотреть обработку ПД в информационных системах и ручным способом;
• в теме, посвященной законодательной основе Политики, отдельно дать ссылку на 687-е;
• в главе, посвященной понятию и составу персональных данных, ввести определение персональных данных, обрабатываемых в целях обеспечения пропускного режима;
• в разделе, посвященном целям и случаям обработки персональных данных, отдельно выделить все ситуации, связанные с неавтоматизированной работой, со ссылкой на статьи нормативного акта;
• в формате согласия на предоставление персональных данных отметить особые цели, связанные с организацией пропускного режима;
• отдельно описать автоматизированную, неавтоматизированную и смешанную обработку ПД с указанием особенностей каждого типа;
• в принципах работы с персональными данными осветить, как именно происходит обезличение и уничтожение персональных данных, если они обрабатываются в неавтоматизированных системах;
• в разделе, связанном с защитой информации, отдельно осветить принципы их защиты при обработке с участием человека, ручным способом. Указать меры по обеспечению раздельного хранения документов с несовместимыми целями обработки, по физической защите помещений;
• в главе, посвященной правам субъектов персональных данных, осветить право на доступ носителя персональных данных к неавтоматизированным носителям информации, условия на реализацию права, ограничения, связанные с невозможностью предоставить право на ознакомление, если на том же носителе есть ПД;
• в разделе, посвященном обязанностям оператора, отдельно рассмотреть все обязанности, предусмотренные Постановлением. В разделе, посвященном правам и обязанностям сотрудников оператора, отдельно прописать все действия, вытекающие из неавтоматизированной обработки данных – копирование, передачу на ознакомление, производство выписок, уничтожение, внесение изменений.

Кроме того, необходимо добавить раздел, посвященный ведению журнала учета посетителей, оформлению пропусков, хранению учетных регистров и обработке, содержащейся в них информации.

Ответственность за невыполнение норм закона 

Нормативный акт не содержит каких-либо специальных мер ответственности за невыполнение его требований. Если проверка Роскомнадзора выявит нарушения, будут применяться нормы, предусмотренные ст. 13.11 КоАП, говорящие о видах неправомерных действий:

• проведение обработки персональных данных в незаявленных целях или целях, не совместимых с требованиями законодательства и нормами Постановления Правительства;
• обработка персональных без согласия субъекта с учетом того, что согласие должно предоставляться на случаи неавтоматизированной или смешанной обработки;
• неучет механизмов ручного оформления ПД в политике компании и отказ от ее публикации на сайте;
• отказ от разработки других локальных нормативных актов организации, предусмотренных законодательством;
• невыполнение требований по предоставлению субъекту персональных данных доступа к обрабатываемым сведениям;
• отказ от выполнения требования субъекта персональных данных откорректировать или стереть их;
• невыполнение требования по учету и хранению материальных носителей ПД, в том числе по отдельному хранителю персональных данных, обрабатываемых во взаимоисключающих целях;
• отказ от обезличивания, если оно требуется.

Нарушение норм выявляется в ходе документарных или выездных проверок. Если проверка внеочередная и проводится по заявлению носителя ПД, она может быть только выездной, с проверкой на месте требований по хранению ПД и ведению книг учета. 
Выполнение требований Постановления позволит избежать административных штрафов, размер которых существенно повысился в 2017 году, а с учетом повторности нарушения они могут оказаться некомфортными для бизнеса.

03.03.2020