Граждане РФ, вступающие во взаимодействие с государственными органами или частными компаниями, в ряде случаев представляют им свои персональные данные. Иногда это происходит по требованию закона, иногда на основании заключения трудового, гражданско-правового или иного договора. Субъекты ПДн хотят быть уверены в том, что сведения о них надежно защищены, особенно когда они касаются имущественных интересов и их разглашение может причинить существенный ущерб.

Нормативно-правовое регулирование

Концепция защиты персональных данных граждан в России основана на европейской практике и действующих в Евросоюзе регламентах. Эти нормы были взяты за основу как наиболее четко проработанные и помогающие сохранить баланс между интересами гражданина, предоставляющего персональные данные, и компании или государственных органов, на которых законом возложена обязанность обеспечить сохранность конфиденциальной информации.

Сейчас нормативно-правовая база Российской Федерации, на основании которой происходит защита конфиденциальной информации и разработка соответствующих положений, состоит из следующих нормативных актов:

• Конституция РФ;
• Федеральный закон «О персональных данных»;
• ТК РФ;
• закон «О государственной гражданской службе»;
• Постановление Правительства № 211, регулирующее особенности для государственных и муниципальных организаций.

Все эти нормативно-правовые акты содержат базовые нормы по использованию, хранению, защите персональных данных, которые при разработке Положения должны быть перенесены в него с учетом специфики деятельности конкретного органа или компании. Кроме того, при разработке Положения для государственного финансового органа следует руководствоваться нормами Положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела. Оно утверждено Указом Президента РФ № 609.

Особенности для финансовых органов

Разработка Положения о сохранности персональных данных для финансового органа практически не отличается от аналогичных процедур, осуществляемых другими государственными органами или компаниями, за определенными исключениями.

Понятие финансового органа трактуется Бюджетным кодексом РФ однозначно. Он относит к ним несколько типов государственных и муниципальных структур. Это:

• Минфин РФ;
• подразделения правительств субъектов федерации, которые отвечают за исполнение и составление бюджетов регионов;
• финансовые органы муниципальных образований.

В зоне компетенции этих структур нет возможности получать персональные данные граждан иначе как от своих сотрудников. Они не оказывают государственных услуг, и им иным образом, в рамках их деятельности, связанной с исполнением и составлением бюджета, не могут быть предоставлены финансовые данные конкретных граждан, даже в ситуации внесения в бюджет каких-либо субсидий или грантов. Таким образом, на составление Положения о защите персональных данных будут распространяться только общие нормы, предусмотренные Постановлением Правительства РФ № 211.

Финмониторинг и Финнадзор

Это правило не относится к органам, осуществляющим финансовый контроль и мониторинг ситуации с отмыванием денежных средств, например, к Росфинмониторингу. В качестве персональных данных он получает информацию от своих кадровых сотрудников, государственных гражданских служащих. Те сведения, персональные данные, которые ему предоставляются в рамках его деятельности, имеют, помимо общей охраны в рамках российского законодательства о персональных данных, иной класс защиты и гриф секретности, являясь служебной тайной. Их обработка происходит отдельно от общей обработки персональных данных и основывается, в том числе, на требованиях законов, регулирующих сферу незаконной финансовой деятельности.

Если говорить об органах Финнадзора, то объем получаемых ими от граждан сведений будет шире. Они имеют доступ к информации, содержащей персональные данные, от:

• собственных государственных гражданских служащих;
• младшего персонала, не относящегося к этой категории;
• должностных лиц и иных сотрудников организаций, в которых они проводят ревизии и иные формы проверок;
• должностных лиц частных организаций и физических лиц, если они привлекаются к административной или уголовной ответственности за нарушение требований валютного или бюджетного законодательства.

Различие в статусе персональных данных, получаемых от сотрудников и в рамках служебной деятельности, можно проиллюстрировать различием программных средств, применяемых для их обработки. Так, в Финнадзоре в одной из областей Поволжья данные 1-й и 2-й группы обрабатываются при помощи:

• информационной системы 1С: Зарплата и кадры и 1С: Бухгалтерия;
• подсистема «АКСИОК-кадры».

Обе программы сертифицированы для работы с персональными данными ФСТЭК РФ и имеют нужный для решения этой задачи уровень защищенности.

Служебная информация, относящаяся к 3-й и 4-й группе, в свою очередь, обрабатывается при помощи таких информационных систем, как «Ревизор» и «Контроль-3». Они специально разработаны в целях учета результатов контрольно-надзорной деятельности в сфере компетенции ведомства, а именно в области финансово-бюджетного и валютного контроля. Также информация, содержащая и персональные данные, обрабатывается в специализированной системе для обработки сведений в рамках возбуждения дел об административных правонарушениях, выявленных проверками.

Частные организации

Если трактовать понятие «финансовые органы» шире, чем об этом пишет бюджетный кодекс, в обычном понимании к ним можно отнести такие частные структуры, как:

• банки;
• страховые компании;
• профессиональные участники рынка ценных бумаг (брокеры, дилеры, управляющие компании).

Они получают персональные данные граждан на основании гражданско-правовых договоров. Эти сведения носят важный для граждан характер, так как касаются их счетов, вкладов, финансовых операций. Но интересно то, что законодательство не относит эту категорию персональных данных к особо охраняемым. Наибольшей степенью защиты пользуются такие сведения, как:

• медицинская информация;
• биометрическая информация;
• данные о политических воззрениях и частной жизни.

При этом финансовая информация, относящаяся к персональным данным, имеет собственный уровень защиты. Она является конфиденциальной еще и в силу отнесения ее к банковской или коммерческой тайне. Степень ее защиты определяется стандартами Центрального банка, но его установки касаются только технических средств. При разработке Положения о защите персональных данных эти органы также руководствуются только общими нормами законодательства.

Структура Положения

Рассматривая Положение о защите персональных данных финансового органа, за основу можно взять документ, созданный в Росфинмониторинге и утвержденный приказом ведомства от 21.01.2014. Документ об обработке и защите данных содержит исчерпывающие положения, позволяющие отрегулировать все вопросы, связанные с выполнением законодательства, действующего в этой сфере. Он может быть взят за основу и частными компаниями.

Общие положения

Здесь рассматривается содержание документа, в котором, согласно нормам Постановления Правительства № 211, должны освещаться вопросы, связанные с целями и порядком обработки персональных данных, мерами, предпринимаемыми для их защиты, и процедуры, направленные на выявление нарушения законодательства о защите ПД как в центральном аппарате, так и в территориальных органах службы.

Даны ссылки на законодательство, регулирующее защиту персональных данных в сфере компетенции службы. К нормативным актам общего характера добавлены федеральные законы «О противодействии коррупции», «О легализации доходов», «О рассмотрении обращений граждан» и «О предоставлении госуслуг». Приведены и отдельные нормативные акты, действующие в сфере гражданской государственной службы. Оговорено, что все действия с персональными данными осуществляются только в рамках принципов, установленных законом.

Персональные данные гражданских служащих и технического персонала

В отдельный раздел выделены правила работы с персональными данными гражданских служащих и технического персонала, занятого обслуживанием зданий и помещений ведомства. К этой категории Положение относит и лиц, претендующих на замещение должностей в ведомстве, соискателей. В этом случае органы государственной власти относят их данные к защищенным, в отличие от частных компаний, которые могут обрабатывать данные кандидатов без их согласия и уведомления, что подтверждается одним из разъяснений Роскомнадзора.

Заявлены цели обработки данных чиновников, среди которых:

• обеспечение содействия при прохождении службы;
• создание кадрового резерва;
• обеспечение обучения и служебного роста;
• контроль над выполнением поручений;
• организация личной безопасности;
• обеспечение получения выплат и компенсаций;
• борьба с коррупцией.

Для технических служащих те же самые цели выражаются проще, и применительно к ним вопросы борьбы с коррупцией в качестве цели обработки персональных данных не рассматриваются. В этом же разделе определяется перечень сведений. Это:

• ФИО;
• дата и место рождения;
• гражданство и случаи его изменения;
• удостоверяющий личность документ;
• адрес;
• номера ИНН, ОГРН, страхового полиса;
• семейное положение;
• сведения о трудовой биографии;
• данные о воинском учете;
• информация об образовании и наличии ученой степени;
• медицинская информация о наличии болезней, не дающих возможность поступить на госслужбу;
• все сведения о предыдущей госслужбе, в том числе о классном чине;
• информация о заграничных поездках;
• наличие допуска к государственной тайне;
• сведения о наградах;
• сведения о доходах и расходах чиновника и его/ее супруга/супруги.

Полностью запрещены сбор и обработка любых сведений, прямо не указанных в перечне, особенно если они касаются расы, национальности, вероисповедования. В перечисленных случаях работа со сведениями происходит без подписания согласия на обработку. Все сведения, попадающие в учетную карточку или в личное дело, собираются таким образом, и с этим согласен Роскомнадзор в своих разъяснениях.

Согласие становится необходимым в следующих случаях: 

1. данные передаются не на основании, прямо указанном в законе;
2. при трансграничной передаче;
3. если принимается решение, следствие которого будет иметь юридический характер, и оно принимается только на базе автоматизированной обработки данных.

Далее в разделе перечисляются все предусмотренные законом методы обработки персональных данных с расшифровкой каждого. Так, под сбором подразумевается физическое получение документов, их копирование, заполнение учетных форм, внесение сведений в информационные системы. Интересно, что если предполагается получить персональные данные гражданского служащего у третьего лица, то субъекта данных необходимо поставить об этом в известность заранее, сообщить цели и способы получения сведений, предполагаемые источники и получить согласие. Это очень отличается от практики работы частных компаний, где информация о персонале получается от любых третьих лиц и без соблюдения каких-либо норм законодательства.

В Положении указано, что в процессе сбора персональных данных сотрудник кадровой службы обязан разъяснить субъекту последствия отказа от их предоставления, особенно если эта обязанность предусмотрена федеральными законами. Передача третьим лицам данных гражданских служащих, соискателей, технического персонала допустима лишь тогда, когда на это есть прямое указание в федеральном законодательстве.

Особые случаи обработки данных

В 3-м, 4-м, 5-м, 6-м разделах Положения об обработке и защите персональных данных Росфинмониторинга рассматриваются особые случаи обработки данных. Третий раздел описывает ситуацию предоставления сотрудникам ведомства или родственникам (свойственникам) единовременной субсидии, на средства которой будет приобретаться жилая площадь. В этом случае запрашиваются дополнительно такие данные, как сведения о составе семьи, выписки из домовой книги, финансового-лицевого счета, документы о собственности на занимаемое помещение.

Второй частный случай связан с осуществлением ведомством функции Удостоверяющего центра. Этот механизм задействуется при генерации электронной подписи. Обрабатываются данные граждан:

• обратившихся за генерацией подписи;
• действующих по доверенности физических лиц – представителей компаний.

Перечень собираемых персональных данных заявителей строго ограничен, по нормам Положения, требованиями закона «Об электронной подписи». Эта категория лиц, предоставляя информацию о себе, в обязательном порядке подписывает согласие.

Пятый раздел связан с получением персональных данных при рассмотрении обращений граждан в службу. В переписку вступают отдельные лица и группы, направляя почтой или через портал обращения, содержащие персональные данные. Они собираются без согласия граждан. Аналогичная ситуация возникает с обработкой данных лиц, обратившихся в службу за получением государственных услуг. Остальные разделы Положения описывают порядок обработки персональных данных с указанием конкретных информационных систем и программных продуктов, при помощи которых она осуществляется.

Таким образом, Положение о персональных данных финансового органа практически не отличается от аналогичного документа, разрабатываемого для любого другого государственного органа или коммерческой организации. Разница возникает только на уровне законодательных актов, на которые ссылается нормативный акт ведомства.