Обработка персональных данных

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Основополагающим нормативным документом в сфере защиты персональных данных (ПД) является закон «О персональных данных». В первой статье закона указано, что данный документ регулирует вопросы, касающиеся обработки данных как с применением средств автоматизации, так и без. До конца непонятно, каждый ли бумажный носитель ПД подпадает под действие закона. Однако во время проверок, касающихся соблюдений требований законодательства, Роскомнадзор чаще всего наказывает именно за нарушения, связанные с обработкой личной информации без применения средств автоматизации.

Понятие персональных данных

Персональными данными считается информация, которая прямо или косвенно относится к конкретному или устанавливаемому физическому лицу – субъекту ПД. Операторами данных выступают органы государственного и муниципального уровня, юридические и частные лица, которые самостоятельно или вместе с другими лицами занимаются организацией процесса или непосредственно обработкой ПД.

В любом случае по отношению к ПД операторы должны установить: целевые критерии обработки; содержание обрабатываемой информации и набор выполняемых действий.

Понятие «обработка ПД» включает различные операции с применением и без применения средств автоматизации:

сбор запись систематизация накапливание
хранение обновление применение извлечение
передача распространение удаление уничтожение

обезличивание

предоставление доступа блокировка

Автоматизированной считают обработку персональных данных с применением автоматизированных систем. Установление точных границ процесса обработки персональных данных такими способами создает некоторые сложности в работе с ними.

Работа с персональными данными

Зачастую операторы даже не предполагают, что подпадает под определение «персональные данные». К примеру, судебная практика свидетельствует, что во время обработки ПД кадровые службы и бухгалтерия руководствуются частью 2 статьи 1 ФЗ-152 о персональных данных и считаю, будто архивы предприятия не подпадают под требования закона. На деле помещения архивов в компаниях по сути являются складами с бумажными носителями информации, что открывает возможности для несанкционированного доступа к ПД с соответствующими правовыми последствиями. Подобные склады полностью подпадают под действие ФЗ-152, так что хранящиеся в помещениях ПД должны обрабатываться с соблюдением установленных законодательством требований.

Но и кроме архивов в любой организации есть рабочие места, где происходит процесс обработки персональных данных. К примеру, у секретарей хранится персональная информация, которая включает:

  • списки работников с ФИО, номерами телефонов и домашними адресами;
  • копии страниц паспортов;
  • данные о семейном положении и детях сотрудников;
  • информация из анкет и резюме соискателей на трудоустройство;
  • приказы с персональными данными, которые ждут подписи, о кадровых назначениях.

Огромное количество ПД хранятся и у службы безопасности, к примеру, анкеты, где содержатся сведения о судимости, которые обычным операторам обрабатывать запрещено. На проходной хранятся данные посетителей, на рабочем месте медицинского работника, который выпускает в рейс транспорт – данные о состоянии здоровья сотрудников. В связи с многообразием мест, где используются ПД, необходимо определить границы их обработки.

Кроме того, во всех перечисленных примерах фигурируют материалы, которые являются носителями ПД, поэтому, согласно постановлению №687, доступ к ним должен быть ограничен. Для любых документов, касающихся личных данных сотрудников, требуется обеспечивать условия конфиденциальности и безопасности информации.

При этом важно четко усвоить и следовать требованиям закона о ПД: определить, что входит в понятие, и учесть все возможные варианты обработки данных в соответствии со статьей 5 данного закона.

Требования законодательства

Закон «О персональных данных» практически не разделяет требования по видам обрабатываемой информации. Только часть 2 статьи 19 содержит сведения по обработке ПД с использованием информационных систем. Поэтому важно, чтобы обработка данных без применения средств автоматизации велась с соблюдением норм и в предусмотренных законодательством случаях.

Кроме закона, вопросы обработки ПД без использования средств автоматизации регулируют подзаконные акты. Речь идет о постановлении правительства №687 от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

В пункте 6 документа сказано, что всех лиц, причастных к обработке ПД без применения автоматизированных средств, необходимо проинформировать о том, что они осуществляют обработку таких данных, а также уведомить, к какой категории относятся данные и какие особенности и правила требуется соблюдать при выполнении операций с данными.

Информирование о факте обработки ПД и категориях данных, которые обрабатываются, допускается осуществлять путем ознакомления сотрудников с перечнем должностей, обязанных участвовать в обработке ПД. Этот перечень должен быть разделен в зависимости от способа обработки: средствами автоматизации и без них.

Требование определить сотрудников, которые принимают участие в конкретных видах обработки ПД, содержится в постановлении №687 и в постановлении правительства №1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Далее, согласно закону, сотрудника надо ознакомить со списком, категориями и видами обработки персональных данных. При этом рекомендуется разделить перечень ПД оператора по категориям. В законе ФЗ-152 не говорится прямо о том, как именно делить на категории. Но приказом Роскомнадзора от 19 августа 2011 года утверждены Рекомендации о заполнении уведомления об обработке ПД. В пункте 6 документа ПД разделены на три категории: персональные, специальные и биометрические.

Для соблюдения требований нормативных актов, не лишним будет добавить в локальную инструкцию или положение оператора, которые определяют особенности работы с ПД, раздел об ознакомлении сотрудников с правилами обработки личных данных без применения автоматизированных средств. Ознакомление с этим локальным документом позволит заодно довести до сведения сотрудников требования пункта 6 приказа Роскомнадзора.

Типовая форма согласно положению №687

В соответствии с постановлением правительства №687 обработка данных без средств автоматизации –это операции применения, уточнения, распространения, уничтожения и других операций с ПД, касающиеся каждого субъекта ПД, выполняемые человеком.

Таким образом, если ПД сотрудников проходят обработку в компьютерной системе, данный факт не означает, что используются средства автоматизации. Поэтому на предприятии нужно разработать и соблюдать порядок обработки ПД. При этом такая информация должна быть обособленной от прочих данных, в том числе и за счет хранения на отдельных физических носителях.

В пункте 7 постановления №687 перечисляются условия, которые нужно соблюдать при использовании форм типовых документов, куда допускается или предполагается вносить ПД. В таком случае в типовой форме, например, карточках, реестрах, журналах – необходимо хранить:

  • сведения о целях обработки ПД без применения средств автоматизации;
  • ФИО и контакты данные оператора;
  • ФИО и контакты субъекта ПД;
  • источник, из которого поступают сведения;
  • сроки обработки;
  • список операций с ПД;
  • обобщенное описание способов обработки.

Важно, чтобы в типовой форме не было объединенных полей, выделенных для занесения ПД, цели обработки которых совершенно разные и не могут быть совмещены.

В типовой форме следует предусмотреть также графу, где субъект ПД поставит отметку о согласии на обработку данных без применения автоматизированных систем в случае, если закон предписывает получать согласие.

Разработанная в соответствии с требованиями ведения официальной документации типовая форма составляется так, чтобы субъекты персональных данных, которые фигурируют в документе, были с ним ознакомлены. При этом ознакомление должно осуществляться без нарушения прав других субъектов ПД.

Безопасность обработки данных

Для защиты ПД необходимо принять специальные меры безопасности, которые позволяли бы производить обработку без средств автоматизации с возможностью определить места хранения на материальных носителях.

Необходимо четко установить круг лиц, допущенных к обработке ПД. Материальные носители с персональными данных должны храниться раздельно, если их обработка осуществляется для разных целей.

В любой компании, организации и учреждении необходимо ограничить доступ и исключить несанкционированные операции с личными данными сотрудников. Оператор должен разработать и ввести в действие перечень мер, выполнение которых обеспечит сохранность ПД в соответствующих условиях. При этом нужно разработать определенный порядок их принятия, а также назначить ответственных лиц, которые будут контролировать соблюдение этого порядка.

Важным этапом организации безопасной обработки и сохранности ПД является правильная организация хранения, учета и обращения средств, являющихся носителями информации. Следует также подумать о физической безопасности: создать эффективный пропускной режим, ограничить доступ на территорию оператора и к местам обработки ПД, организовать охрану помещений, где расположены технические средства для обработки персональных данных.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними