Основополагающим нормативным документом в сфере защиты персональных данных (ПД) является закон «О персональных данных». В первой статье закона указано, что данный документ регулирует вопросы, касающиеся обработки данных как с применением средств автоматизации, так и без. До конца непонятно, каждый ли бумажный носитель ПД подпадает под действие закона. Однако во время проверок, касающихся соблюдений требований законодательства, Роскомнадзор чаще всего наказывает именно за нарушения, связанные с обработкой личной информации без применения средств автоматизации.
Персональными данными считается информация, которая прямо или косвенно относится к конкретному или устанавливаемому физическому лицу – субъекту ПД. Операторами данных выступают органы государственного и муниципального уровня, юридические и частные лица, которые самостоятельно или вместе с другими лицами занимаются организацией процесса или непосредственно обработкой ПД.
В любом случае по отношению к ПД операторы должны установить: целевые критерии обработки; содержание обрабатываемой информации и набор выполняемых действий.
Понятие «обработка ПД» включает различные операции с применением и без применения средств автоматизации:
| сбор | запись | систематизация | накапливание |
| хранение | обновление | применение | извлечение |
| передача | распространение | удаление | уничтожение |
|
обезличивание |
предоставление доступа | блокировка | |
Автоматизированной считают обработку персональных данных с применением автоматизированных систем. Установление точных границ процесса обработки персональных данных такими способами создает некоторые сложности в работе с ними.
Зачастую операторы даже не предполагают, что подпадает под определение «персональные данные». К примеру, судебная практика свидетельствует, что во время обработки ПД кадровые службы и бухгалтерия руководствуются частью 2 статьи 1 ФЗ-152 о персональных данных и считаю, будто архивы предприятия не подпадают под требования закона. На деле помещения архивов в компаниях по сути являются складами с бумажными носителями информации, что открывает возможности для несанкционированного доступа к ПД с соответствующими правовыми последствиями. Подобные склады полностью подпадают под действие ФЗ-152, так что хранящиеся в помещениях ПД должны обрабатываться с соблюдением установленных законодательством требований.
Но и кроме архивов в любой организации есть рабочие места, где происходит процесс обработки персональных данных. К примеру, у секретарей хранится персональная информация, которая включает:
Огромное количество ПД хранятся и у службы безопасности, к примеру, анкеты, где содержатся сведения о судимости, которые обычным операторам обрабатывать запрещено. На проходной хранятся данные посетителей, на рабочем месте медицинского работника, который выпускает в рейс транспорт – данные о состоянии здоровья сотрудников. В связи с многообразием мест, где используются ПД, необходимо определить границы их обработки.
Кроме того, во всех перечисленных примерах фигурируют материалы, которые являются носителями ПД, поэтому, согласно постановлению №687, доступ к ним должен быть ограничен. Для любых документов, касающихся личных данных сотрудников, требуется обеспечивать условия конфиденциальности и безопасности информации.
При этом важно четко усвоить и следовать требованиям закона о ПД: определить, что входит в понятие, и учесть все возможные варианты обработки данных в соответствии со статьей 5 данного закона.
Закон «О персональных данных» практически не разделяет требования по видам обрабатываемой информации. Только часть 2 статьи 19 содержит сведения по обработке ПД с использованием информационных систем. Поэтому важно, чтобы обработка данных без применения средств автоматизации велась с соблюдением норм и в предусмотренных законодательством случаях.
Кроме закона, вопросы обработки ПД без использования средств автоматизации регулируют подзаконные акты. Речь идет о постановлении правительства №687 от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В пункте 6 документа сказано, что всех лиц, причастных к обработке ПД без применения автоматизированных средств, необходимо проинформировать о том, что они осуществляют обработку таких данных, а также уведомить, к какой категории относятся данные и какие особенности и правила требуется соблюдать при выполнении операций с данными.
Информирование о факте обработки ПД и категориях данных, которые обрабатываются, допускается осуществлять путем ознакомления сотрудников с перечнем должностей, обязанных участвовать в обработке ПД. Этот перечень должен быть разделен в зависимости от способа обработки: средствами автоматизации и без них.
Требование определить сотрудников, которые принимают участие в конкретных видах обработки ПД, содержится в постановлении №687 и в постановлении правительства №1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Далее, согласно закону, сотрудника надо ознакомить со списком, категориями и видами обработки персональных данных. При этом рекомендуется разделить перечень ПД оператора по категориям. В законе ФЗ-152 не говорится прямо о том, как именно делить на категории. Но приказом Роскомнадзора от 19 августа 2011 года утверждены Рекомендации о заполнении уведомления об обработке ПД. В пункте 6 документа ПД разделены на три категории: персональные, специальные и биометрические.
Для соблюдения требований нормативных актов, не лишним будет добавить в локальную инструкцию или положение оператора, которые определяют особенности работы с ПД, раздел об ознакомлении сотрудников с правилами обработки личных данных без применения автоматизированных средств. Ознакомление с этим локальным документом позволит заодно довести до сведения сотрудников требования пункта 6 приказа Роскомнадзора.
В соответствии с постановлением правительства №687 обработка данных без средств автоматизации –это операции применения, уточнения, распространения, уничтожения и других операций с ПД, касающиеся каждого субъекта ПД, выполняемые человеком.
Таким образом, если ПД сотрудников проходят обработку в компьютерной системе, данный факт не означает, что используются средства автоматизации. Поэтому на предприятии нужно разработать и соблюдать порядок обработки ПД. При этом такая информация должна быть обособленной от прочих данных, в том числе и за счет хранения на отдельных физических носителях.
В пункте 7 постановления №687 перечисляются условия, которые нужно соблюдать при использовании форм типовых документов, куда допускается или предполагается вносить ПД. В таком случае в типовой форме, например, карточках, реестрах, журналах – необходимо хранить:
Важно, чтобы в типовой форме не было объединенных полей, выделенных для занесения ПД, цели обработки которых совершенно разные и не могут быть совмещены.
В типовой форме следует предусмотреть также графу, где субъект ПД поставит отметку о согласии на обработку данных без применения автоматизированных систем в случае, если закон предписывает получать согласие.
Разработанная в соответствии с требованиями ведения официальной документации типовая форма составляется так, чтобы субъекты персональных данных, которые фигурируют в документе, были с ним ознакомлены. При этом ознакомление должно осуществляться без нарушения прав других субъектов ПД.
Для защиты ПД необходимо принять специальные меры безопасности, которые позволяли бы производить обработку без средств автоматизации с возможностью определить места хранения на материальных носителях.
Необходимо четко установить круг лиц, допущенных к обработке ПД. Материальные носители с персональными данных должны храниться раздельно, если их обработка осуществляется для разных целей.
В любой компании, организации и учреждении необходимо ограничить доступ и исключить несанкционированные операции с личными данными сотрудников. Оператор должен разработать и ввести в действие перечень мер, выполнение которых обеспечит сохранность ПД в соответствующих условиях. При этом нужно разработать определенный порядок их принятия, а также назначить ответственных лиц, которые будут контролировать соблюдение этого порядка.
Важным этапом организации безопасной обработки и сохранности ПД является правильная организация хранения, учета и обращения средств, являющихся носителями информации. Следует также подумать о физической безопасности: создать эффективный пропускной режим, ограничить доступ на территорию оператора и к местам обработки ПД, организовать охрану помещений, где расположены технические средства для обработки персональных данных.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
