Ирина Андрианова – Персональные данные в организации (страница 1)
Персональные данные в организации
Ирина Андрианова
© Ирина Андрианова, 2024
ISBN 978-5-0059-7035-0
Создано в интеллектуальной издательской системе Ridero
1. ОСНОВНЫЕ ПОНЯТИЯ, КЛАССИФИКАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЗОР ЗАКОНОДАТЕЛЬСТВА
Как организовать работу с персональными данными сотрудников, клиентов, контрагентов в организации? Какие документы по обработке и защите персональных данных должны быть разработаны и какими нормативно-правовыми актами необходимо руководствоваться?
Ответы на каждый из этих вопросов дают федеральные законы и другие нормативные правовые акты Российской Федерации, которые являются основанием для работы с персональными данными в любой организации (предприятии, учреждении).
Конституция Российской Федерации гарантирует каждому гражданину нашей страны право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ст. 23) и устанавливает запрет на сбор, хранение, использование информации о частной жизни человека без его согласия. На основании Конституции был создан Федеральный закон о персональных данных для обеспечения прав людей и защиты личных сведений.
1.1. Федеральный закон о персональных данных
Основной закон, регулирующий работу с персональными данными – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152). В нем содержатся порядок работы с персональными данными, принципы и условия их обработки, требования к содержанию некоторых документов, например, согласий на обработку ПДн, права субъекта ПДн и обязанности оператора.
Основные понятия ФЗ-152 содержатся в статье 3.
Персональные данные (далее – ПДн) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 ФЗ-152). Т. е. это информация, которая относится к конкретному человеку, например, ФИО, пол, возраст, дата рождения, номер телефона, адрес электронной почты и др. Однако некоторые данные не являются ПДн сами по себе, а становятся таковыми только в совокупности с другими сведениями. Например, сам номер телефона без ФИО не является ПДн, т. к. идентифицировать человека в этом случае невозможно. А если организация обрабатывает и хранит данные в совокупности (ФИО, номер телефона, email), то и номер телефона и адрес электронной почты являются персональными данными. Также фамилия, имя, отчество являются персональными данными только в привязке к другим данным, например, паспортным (дата и место рождения, номер паспорта и тп).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн, т. е. операторами персональных данных являются все организации, учреждения, предприятия, которые собирают, распространяют, обрабатывают и хранят ПДн работников, а также клиентов и контрагентов (п.2 ст. 3 ФЗ-152).
Субъект персональных данных – это физическое лицо, которое идентифицируется с помощью конкретных ПДн, т. е. носитель этих данных. Законодательством предусмотрено 2 основные категории субъектов ПДн – работники организации и те, кто ими не является. К субъектам ПДн относятся: работники оператора, соискатели, бывшие работники, родственники работников; контрагенты и клиенты (физ. лица); законные представители, работники юр. лиц, являющихся клиентами, контрагентами оператора.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ 152). Т. е. обработка – это любые действия с персональными данными.
Например, сотрудник при трудоустройстве предоставил работодателю документы со сведениями о себе и своей трудовой деятельности. Сотрудник – это субъект персональных данных, работодатель – оператор, который собирает эти данные о сотруднике, хранит и анализирует, т.е. обрабатывает персональные данные конкретного работника.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ-152).
1.2. Информационная система и виды обработки ПДн
Во многих организациях персональные данные обрабатываются в специальных кадровых, бухгалтерских и других программах, собираются и размещаются на сайтах компаний и др., а также обрабатываются в государственных информационных системах (ГИС).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10 ст.3 ФЗ-152).
ФЗ-152 определяет следующие способы обработки персональных данных:
1)
2)
3)
Некоторые компании (например, турагентства) в ходе своей деятельности передают персональные данные за границу, т. е. осуществляют трансграничную передачу ПДн – передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ФЗ-152).
Хранить ПДн организация может по-разному – и в электронном виде (на сервере или в облачном хранилище), и в бумажном (хранить документы в картонных папках в архиве). Бесцельно хранить и обрабатывать ПДн нельзя. Как только достигнута цель обработки, персональные данные необходимо уничтожить либо обезличить. Так, например, нельзя хранить в личном деле сотрудника копии паспорта, ИНН, СНИЛС, дипломов, военного билета и т. п. (эти документы хранят в личных делах госслужащих). При проверке инспектор может посчитать это излишнем и выпишет штраф, т. к. цель обработки этих персональных данных (трудоустройство сотрудника) уже достигнута и хранить эти сведения больше нет необходимости.
Уполномоченный орган – федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных (ст. 23 ФЗ-152). В Российской Федерации их 3:
– Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Полномочия: защита прав субъектов персональных данных, контроль и надзор за соответствием обработки ПДн требованиям законодательства РФ в области ПДн.
– Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Полномочия: контроль и надзор за организационными и техническими мерами защиты персональных данных.
– Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.
1.3. Классификация персональных данных.
Категории персональных данных обозначены в пункте 5 постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП №1119). Всего их 4.
1) Общедоступные персональные данные – «данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей Федерального закона „О персональных данных“». Это могут быть фамилия, имя, отчество, год и место рождения, почтовый адрес, номер телефона, сведения о профессии, месте работы, квалификации, адрес электронной почты.