Закон «О персональных данных» (ФЗ №152) устанавливает четкие правила использования персональных данных – информации, которая прямо или косвенно относится к определенному человеку. Для того, чтобы собирать персональные данные, оператор должен определить цели сбора данных и действия с ними. Перечень целей обработки персональных данных должен указываться в соглашении, которое организация подписывает с работником, клиентом, деловым партнером или любым другим человеком, чьи данные берет в обработку. Соглашения с субъектами ПДн должны содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Политика компании, касающаяся обработки ПДн и также содержащая ее цели, должна находиться в открытом доступе. Обработка персональных данных на практике должна выполняться в соответствии и в пределах установленных целей. За нарушения, например обработке данных не соответствующей озвученной оператором цели предусмотрена административная ответственность по ст. 13.11 КоАП РФ.

Цели сбора информации о субъектах

Роскомнадзор в своей форме уведомления предлагает 37 целей обработки ПД:

• Ведение кадрового и бухгалтерского учета
• Обеспечение соблюдения трудового законодательства РФ
• Обеспечение соблюдения налогового законодательства РФ
• Обеспечение соблюдения пенсионного законодательства РФ
• Обеспечение соблюдения законодательства о государственной гражданской службе РФ
• Обеспечение соблюдения законодательства о муниципальной службе РФ
• Обеспечение соблюдения законодательства о государственной социальной помощи РФ
• Обеспечение соблюдения страхового законодательства РФ
• Обеспечение соблюдения жилищного законодательства
• Обеспечение соблюдения законодательства РФ в сфере здравоохранения
• Обеспечение соблюдения законодательства РФ в сфере образования
• Обеспечение соблюдения законодательства РФ об обороне
• Обеспечение соблюдения законодательства РФ о безопасности
• Обеспечение соблюдения законодательства РФ о противодействии терроризму 
• Обеспечение соблюдения законодательства РФ о транспортной безопасности
• Обеспечение соблюдения законодательства РФ о противодействии легализации терроризма
• Обеспечение соблюдения законодательства РФ о противодействии коррупции
• Обеспечение соблюдения законодательства РФ об оперативно-розыскной деятельности
• Обеспечение соблюдения законодательства РФ об исполнительном производстве
• Обеспечение соблюдения уголовно-исполнительного законодательства РФ
• Реализация международных договоров РФ
• Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах
• Подготовка, заключение и исполнение гражданско-правового договора
• Исполнение судебного акта
• Осуществление профессиональной деятельности журналиста и (или) законной деятельности СМИ
• Осуществление научной, литературной или иной творческой деятельности
• Проведение исследовательских работ
• Проведение статистического учета
• Оказание государственных и (или) муниципальных услуг, предусмотренных законодательством РФ
• Добровольное медицинское страхование
• Продвижение товаров, работ, услуг на рынке
• Политическая агитация
• Обеспечение пропускного режима на территории оператора
• Подбор персонала (соискателей) на вакантные должности оператора
• Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением
• Осуществление адвокатской деятельности
• Осуществление нотариальной деятельности.

Однако оператор может установить и изложить в своих документах и иные цели обработки, не нарушающие требований законодательства.

Действия с персональными данными

Обрабатывать персональные данные – значит выполнять любые действия или операции с этой информацией. Операторам разрешается:

• собирать;
• записывать;
• систематизировать;
• накапливать;
• хранить;
• уточнять;
• извлекать;
• применять;
• передавать;
• обезличивать;
• блокировать;
• удалять;
• уничтожать персональные данные.

Выполнение таких действий должно осуществляться со строго определенными целями, для каждой из которых указываются конкретные категории данных. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.

Ответственность за работу с персональными данными, согласно законодательству, возлагается на выделенного сотрудника. Ответственный за обработку персональных данных назначается приказом по организации. Его полномочия и задачи должны быть утверждены локальным актом, однако закон устанавливает три его обязанности:

• Внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных, в т.ч. об их защите;
• Доведение до сведения сотрудников положений этого законодательства;
• Прием и обработка обращений и запросов субъектов персональных данных или их представителей.

Выполнить эти требования – обеспечить соответствующий требованиям законодательства контроль за обработкой данных и уровень их защиты без технических средств практически невозможно.

На решение таких задач ориентированы DCAP и DLP-системы. Эти средства объективного контроля позволяют находить и категоризировать персональные данные, выявлять места их хранения в корпоративной инфраструктуре, отслеживать действия с ними и пресекать нарушения.

Технические процессы обработки и защиты персональных данных требуют организационного сопровождения.

Рекомендации по организационно-техническим этапам построения системы защиты персональных данных наши эксперты рассмотрели на вебинаре.

×

 

Категории ПДн

Постановление Правительства № 1119 устанавливает, что существуют три категории персональных данных. 

1. Общедоступные персональные данные – ФИО, дата рождения, номер телефона, адрес, сведения о профессии человека, которые опубликованы с его согласия в общедоступных источниках (например, в телефонных или адресных книгах). 
2. Биометрические данные – сведения о физиологических параметрах и особенностях человека, позволяющих его идентифицировать.
3. Персональные данные специальных категорий – это сведения о национальности, религии, убеждениях, состоянии здоровья человека. Также к ним относят информацию о судимости гражданина.

Все персональные данные, согласно ст. 7 152-ФЗ и положениям Указа Президента РФ № 188 от 06.03.1997 – конфиденциальные сведения. Не допускается их передача или распространение без согласия их субъекта.

Важным условием обработки является и ее срок. Окончательным сроком, позволяющим совершать какие-либо действия с персональной информацией, может считаться конкретная дата или событие (например, окончание срока действия согласия на обработку персональных данных, отзыв такого согласия, выполнение обязательств по договору и т.д.).

Цели обработки ПДн сотрудников

Организация не может избежать сбора и обработки персональных данных своих сотрудников: эти операции необходимы для осуществления и закрепления трудовых отношений.
Для обработки персональных данных сотрудников характерны следующие цели:

• Подбор персонала (соискателей) на вакантные должности оператора;
• Ведение кадрового и бухгалтерского учета;
• Обеспечение соблюдения трудового законодательства РФ;
• Обеспечение соблюдения налогового законодательства РФ;
• Обеспечение соблюдения пенсионного законодательства РФ;
• Обеспечение пропускного режима на территории оператора.

Для организаций бюджетного сектора, органов власти характерны и другие цели:

• Обеспечение соблюдения законодательства о государственной гражданской службе РФ;
• Обеспечение соблюдения законодательства о муниципальной службе РФ.

Цели обработки персональной информации в медучреждениях

В организациях разных отраслей, цели обработки ПДн могут быть разными.

В медицинских учреждениях, к примеру, собираются данные о фактическом состоянии здоровья пациента, которые относятся к специальным категориям. Их, согласно ст. 10 152-ФЗ, можно обрабатывать без его согласия в следующих целях:

• Постановка диагноза;
• Профилактические мероприятия;
• Предоставление медицинских, социальных услуг.

Также, если получить согласие пациента нет возможности, а его здоровью или жизни угрожает опасность, допускается обрабатывать ПДн без согласия.

Цели обработки ПДн в банковском секторе

В сфере предоставления банковских услуг при выполнении определенных банковских операций цели обработки ПДн могут быть следующими:

• Подготовка, заключение, исполнение договоров об оказании финансовых услуг;
• Предоставление консультационных услуг и информации гражданину;
• Ведение кредитной истории;
• Выполнение требований налогового и страхового законодательства РФ;
• Выполнение денежных переводов и иных операций по счетам;
• Продвижение товаров, работ, услуг на рынке.

Не все просто с персональной информацией любого гражданина, будь то сотрудник какой-либо компании, пациент медицинского учреждения, клиент банка или любой другой организации. Закон запрещает использовать персональные данные любого человека не только без его согласия, но также и в случае, если эти сведения не нужны для реализации конкретных целей (если субъект ПДн не дал согласия на эти действия).

В случае утечки персональных данных или их нецелевого использования, гражданин имеет право подать жалобу в Роскомнадзор или обратиться в прокуратуру, что может стать основанием для проверки оператора персональных данных и привлечения его к ответственности. Поэтому обработка персональных данных должна вестись строго в рамках действующего законодательства.