Закон «О персональных данных» № 152-ФЗ от 27.07.2006 года регулирует отношения государства, физических и юридических лиц в области сбора, хранения, обработки и защиты персональных данных (ПД) с помощью средств автоматизации или без них. Цель закона состоит в защите прав граждан по сохранению тайны их личной жизни. Любая организация, собирающая и обрабатывающая ПД, является оператором ПД.

Работа оператора с ПД сотрудников и других физических лиц

Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.

Обработка персональной информации граждан является законной в следующих случаях:

• если получено письменное разрешение лица на обрабатывание его личных данных;
• если это необходимо для надлежащего исполнения оператором своих функций;
• для осуществления правосудия;
• для получения государственной услуги;
• с целью оформления и исполнения договора;
• для защиты жизни и здоровья физлица;
• с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
• профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
• статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
• если ПД стали общедоступными благодаря самому субъекту;
• когда ПД подлежат публикации или непременному открытию ввиду требований закона.

Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.

Принципы и условия обрабатывания оператором личных данных

1. Обрабатывание ПД реализовывается на законной основе.
2. Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.
3. Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
4. ПД должны быть точными, полными и актуальными для данных целей.
5. Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.

Обязанности оператора

• Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
• Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.
• Обеспечить должную защиту обрабатываемых и хранимых ПД.
• Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
• Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.
• Информировать субъекта о причине отказа от предоставления персональных данных.

Особенности работы с ПД при оформлении личных дел работников предприятия

Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:

• службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
• персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
• объем ПД не избыточен для должной работы данного учреждения.

Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.

Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.

Порядок оформления личного дела и возможный состав персональных данных:

• содержание личного дела;
• заявление о приеме на работу;
• приказ о приеме на работу;
• анкета;
• автобиография и резюме;
• копии дипломов;
• трудовой договор;
• представления к переводам на другую должность;
• приказы о переводах;
• внесение изменений персональных данных;
• документация об аттестации сотрудника;
• заявления персонала;
• документы о здоровье;
• фото;
• приказ о поощрении и взыскании;
• копии паспортных данных;
• копии карточек ПФР;
• индивидуальные налоговые номера;
• копии военных билетов;
• документы о заключении брака;
• документы о рождении детей;
• списки научных работ, изобретений;
• характеристики и отзывы.

Контроль деятельности операторов ПД

Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

Основаниями для внеплановой проверки являются:

• контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
• требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
• бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
• приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
• Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.

Способы проверок:

• выезд на место обработки персональных данных;
• проверка предоставленной по запросу документации;
• систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

Ответственность за незаконную обработку персональных данных

Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

Требования к защите персональных данных

Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

Для надлежащей защиты ПД необходимо:

• установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
• принять адекватные меры организационного и технического характера;
• применять сертифицированные средства информационной защиты;
• перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
• вести учет машинных носителей ПД;
• обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
• восстанавливать поврежденную информацию;
• установить режим доступа к ПД только строго установленных лиц;
• регистрировать все действия, совершаемые при работе с ПД.

Защита от несанкционированного доступа

• Разрешительная система допусков к информсистеме.
• Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
• Регистрация действий при работе с ПД.
• Строгий учет и хранение съемных носителей данных.
• Создание резервных копий и дублирование баз данных и носителей информации.
• Использование сертифицированных средств защиты информации.
• Защищенные каналы связи.
• Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
• Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
• Межсетевое экранирование.
• Анализ защищенности информационных систем сканерами безопасности.
• Ограждение каналов связи от считывания данных.
• Использование смарт-карт, электронных замков для правильной идентификации пользователей.
• Систематическое испытание межсетевого экрана имитацией атак извне.
• Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

Особенности защиты персональных данных в ЕС

25 мая 2018 года вступил в силу Регламент о защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные сведения о лицах, находящихся в ЕС.

На что стоит обратить внимание:

• расширился список персональных данных (добавлены данные о местонахождении, IP-адреса, cookies);
• увеличились правовые возможности субъектов ПД (право на перемещение данных из одной компании в другую, право на ликвидацию всех сведений о себе из БД компании);
• появились новые обязательства для операторов (доказательство законности обрабатывания данных, защита ПД по умолчанию, назначение для компаний-нерезидентов представителя в ЕС, определение ответственного лица по защите данных);
• детально прописано согласие субъекта на обрабатывание ПД (согласие выражается активным действием: письменным сообщением, в том числе, и через электронные средства, или же устно);
• описано, какие должны быть приняты меры, если утеряны ПД либо к ним произошел несанкционированный доступ (компания должна послать уведомление контролирующему органу на протяжении 72 часов после произошедшего инцидента, а если утечка данных является существенной, то проинформировать об этом и субъекта ПД для предупреждения о возможной опасности);
• расширена территория действия Регламента за границы ЕС.

Таким образом, европейскими законодателями ставится важная цель по созданию единой действующей правовой базы, которая будет распространяться на все государства, являющиеся членами ЕС, и даже за его пределы.