Работа с персональными данными в организации — это упорядоченный процесс, который должен проводиться в соответствии с требованиями закона «О персональных данных» от 27.07.2006 № 152-ФЗ. О правилах и алгоритме действий организации в данной сфере расскажет предлагаемая нами статья.
Персональные данные — понятие и состав
Согласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей. Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных. Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.
Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:
- имя, фамилию и отчество;
- дату и место рождения;
- номер телефона;
- адрес пребывания;
- данные об образовании и профессии;
- сведения о семейном, имущественном положении, доходах и т. п.
Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д. При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме. Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных. Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.
Ограничения на сбор и обработку персональных данных
Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона. Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:
- Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
- Для защиты жизни, здоровья и иных значимых интересов гражданина.
- В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.
- В иных ситуациях по просьбе или с разрешения гражданина.
Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):
- объем и характер собираемой информации должны соответствовать поставленной цели;
- недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;
- хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).
Общие правила, порядок действий, инструкция по работе с персональными данными в организации
Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.
К таковым мерам, в частности, следует отнести:
- назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;
- издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;
- применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т. д.;
- осуществление внутреннего контроля за обработкой личных данных;
- проведение инструктажа, ознакомления работников с правилами обработки персональных данных.
Часть 4 статьи 18.1 ФЗ № 152 указывает, что организации необходимо представить по запросу контрольно-надзорных органов документы и локальные акты (инструкцию, положение, приказ и т. д.) либо подтвердить иным способом принятие мер, направленных на защиту прав и интересов граждан, чьи данные подлежат обработке. Более того, часть 2 статьи 18.1 ФЗ № 152 обязывает организацию обеспечить доступ к данным документам всех заинтересованных лиц.
Ручная обработка личных данных
При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т. п.) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687. Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:
- Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.
- Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
- В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
- В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
- Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.
Практикам также следует учитывать, что пункт 8 указанного положения содержит ряд дополнительных требований к ведению типовых форм, обеспечивающих пропуск гражданина на территорию оператора. Так, необходимость ведения учетных форм и требования к ним должны быть прямо прописаны в нормативном акте организации, а копирование информации, содержащейся в подобных документах, запрещается.
Применение автоматизированных систем
В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119. Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.
Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:
- постановление Правительства РФ «Об утверждении…» от 06.07.2008 № 512, которое регламентирует порядок работы с биометрическими персональными данными;
- приказ Роскомнадзора «Об утверждении…» от 05.09.2013 № 996, определяющий методы обезличивания таких данных.
Необходимость применения конкретных мер для защиты информации определяется пунктами 6 и 7 обозначенных Требований исходя из степени ее важности, а также уровня потенциального вреда гражданам, который может быть нанесен при несанкционированном доступе к таким данным.
Охрана личных данных и предоставление (передача) их третьим лицам
Согласно пункту 6 статьи 3 ФЗ № 152, под передачей личных данных понимается их раскрытие конкретному лицу либо нескольких определенным лицам. В силу статьи 7 ФЗ № 152 организации прямо запрещено раскрытие полученных ею личных данных граждан без получения согласия последних, если возможность такого предоставления прямо не предусмотрена действующим законодательством. Что же касается порядка допустимого предоставления такой информации, то он регулируется частями 3 и 4 статьи 18 ФЗ № 152.
Охрана личных данных предполагает использование комплекса юридических, организационных и технических мероприятий, перечень которых обозначен в статье 19 ФЗ № 152, в целях предотвращения несанкционированного доступа и нанесения вреда интересам граждан, чьи данные имеются в организации. При этом мероприятия по охране личной информации проводятся как самой организацией, так и государством — посредством осуществления государственного контроля за их выполнением. Перечень возможных нарушений, а также рамки ответственности за них определяются статьей 13.11 КоАП РФ.
***
Подводя итог, следует отметить, что действующий ФЗ № 152 и подзаконные акты определяют лишь общие требования к работе с личными данными, при этом оставляя организации право выбора конкретных мероприятий, при помощи которых перечисленные требования будут соблюдаться.