Обработка персональных данных работодателем

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Кто обеспечивает защиту данных?

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
   • сотрудников фирмы;
   • при заключении договоров;
   • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

   Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

   Чаще всего это:

   • регламент обработки данных;
   • правила компании по подбору персонала;
   • введение пропускного режима;
   • перечень мест хранения данных;
   • регламент уточнения, уничтожения ПДн.
6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
7. Утвердить перечень сотрудников, которые допущены к работе с информацией.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Главные требования к мерам по защите персональных данных в организации

Характерным для действующей нормативно-правовой базы РФ в сфере информационной безопасности является предоставление права компаниям и предпринимателям самостоятельно решать, как предупреждать незаконные действия с используемыми ПДн. Есть, конечно, исключения, например, в обязательном порядке в организации должен быть назначен сотрудник, несущий ответственность за соблюдение мер защиты. В остальном можно выбирать те средства, которые:

• будут достаточными, чтобы не дать злоумышленникам или неуполномоченным сотрудникам совершать какие-либо действия с конфиденциальными сведениями;
• позволят эффективно выполнять поставленные рабочие задачи;
• будут соответствовать ФЗ-152 и другим нормативно-правовым актам, регулирующим работу операторов ПДн;
• будут учитывать особенности используемой информационной системы.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

– получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

– привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

– отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

– устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Если не заключено дополнительное соглашение, персональные данные работника можно получать только у него самого. Например, нельзя даже позвонить в организацию, где сотрудник работал раньше, чтобы уточнить мнение о нём, без письменного согласия самого сотрудника.

Поэтому мы рекомендуем при приёме на работу предлагать сотруднику заполнить анкету с пунктом «Не возражаю против получения данных обо мне в…» и список организаций, в которые можно обратиться. Не лишним будет также указать «Не возражаю против проверки предоставленных данных».

ВАЖНО: Если у вас запрашивают персональные сведения о ваших работниках или бывших работниках, ни в коем случае не предоставляйте их без ознакомления с письменным согласием субъекта! Официальным органам – например, сотрудникам полиции – данные предоставляются по письменному запросу или после предъявления служебного удостоверения сотрудника и приказа, в котором указаны цели сбора сведений.

Профессиональная разработка

Поскольку с ПДн сейчас работает подавляющее большинство организаций, найти типовые формы документов, регулирующие операции с персональными данными, несложно. Большинство шаблонов можно найти на официальных сайтах ФСТЭК, Роскомнадзора и ФСБ, но использовать их без адаптации нельзя.

Каждый бизнес имеет свою специфику, в частности, отличается количество и категория субъектов ПДн, виды совершаемых действий с личными сведениями, характеристики созданной информационной системы и т.д. Поэтому необходимо разрабатывать организационно-распорядительную документацию в индивидуальном порядке, причем разумнее всего будет довериться в данном вопросе специалистам нашего Центра, которые осведомлены о последних законодательных изменениях и готовы помочь привести фирму в полное соответствие с ФЗ-152. Сотрудничество с нами будет особенно выгодным для представителей малого и среднего бизнеса, которые не могут себе позволить тратить массу ресурсов на решение подобных вопросов.

Эта группа действий обычно не представляет трудности для оператора, к ней не предъявляются строгие требования регуляторов. Она не влечет необходимости привлечения лицензированных специалистов. Среди обязательных мероприятий по обеспечению безопасности данных присутствуют:

• направление сообщения в Роскомнадзор о начале занятий соответствующим видом предпринимательской деятельности, предполагающим обработку персональных данных. Сообщение заполняется в форме на сайте ведомства и направляется по почте;
• разработка локальных нормативных актов, опосредующих передачу данных. К этим документам относятся Положение о защите персональных данных, приказ о назначении ответственного за эту деятельность. Подготовить их можно самостоятельно. Утверждает документы руководитель организации, требований по регистрации их в государственных ведомствах не существует;
• разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные. При оформлении пропусков не надо забывать, что даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика;
• разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
• определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
• ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
• разработка системы внутреннего контроля, позволяющей увидеть все моменты нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

Инвентаризация/обследование информационных систем ПДн в организации

Основной задачей инвентаризации/обследования инфор-мационных систем является выявление ИС, в которых осущест- иляется обработка персональных данных (например, система бухгалтерского учета, кадровый учет, система взаимоотношений с клиентами, биллинговая система и т. п.).

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Если в небольшой организации, скорее всего, создана одна информационная система ПДн, в крупных — таких систем будет несколько, причем обрабатываемые в них данные могут относится к различным категориям.

Как показывает практика внедрение мер по защите ПДн без предварительного анализа и оптимизации процессов обработки ПДн может привести к неоправданному удорожанию системы защиты ПДн. Оптимизация процессов обработки позволяет не только снизить стоимость работ по организации защиты персональных данных, но и повысить эффективность бизнес- процессов Заказчика.

Обследование ИСПДн включает:

■ обследование персональных данных обрабатываемых в ИСПДн;

■ обследование и анализ ИТ-инфраструктуры ИСПДн;

■ изучение и анализ процедур обработки ПДн;

■ обследование и анализ применяемых средств защиты информации;

■ использование антивирусных программ и т. п.

При проведении обследования может быть рекомендовано составление опросных листов, учитывающих специфику дея-тельности оператора, проведение анализа полученной информации с целью возможного понижения класса ИСПДн, выявление бизнес-процессов, анализ организационной структуры и т. п

Вид информационной системы

По типу информационные системы делятся на типовые и специальные. Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных, а специальные ин-формационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.

Как правило, в информационных системах, которые ведутся с целью кадрового, бухгалтерского, управленческого учета, важно обеспечить не только конфиденциальность, но и защищенность от уничтожения и изменения. Следовательно, подавляющее большинство информационных систем следует рассматривать в качестве специальных.

К специальным информационным системам должны быть отнесены:

■ информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

■ информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта персональных данных или иным образом за-трагивающих его права и законные интересы.

Для специальных ИСПДн требуется провести работу по моделированию возможных угроз.

Формирование Модели угроз безопасности персональных данных является необходимым этапом в создании системы защиты персональных данных согласно пп. 12а Постановления Правительства РФ от 17 ноября 2007 г.

№781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». При этом модель угроз позволит применять именно те контрмеры, которые актуальны для условий использования защищаемой системы.

ФСТЭК России и ФСБ России разработаны следующие методические документы, определяющие порядок формирования модели угроз:

■ Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г.

■ Методика определения актуальных угроз безопасности персональных данных при их обработке в инфор-мационных системах персональных данных. ФСТЭК России, 14.02.2008 г.

■ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/54-144.

Исходные данные для определения актуальных угроз формируются на основе перечней источников угроз (опрос), уязвимых звеньев ИС (опрос и сканирование сети) и, наконец, перечня технических каналов утечки (обследование ИС). Порядок определения актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

■ оценка (на основе опроса и анализа) уровня исходной защищенности ИСПДн (высокий, средний, низкий);

■ экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая);

■ определение актуальных угроз (путем исключения не-актуальных угроз по определенному алгоритму, опи-санному в методике).

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного Приказом ФСТЭК России от 05.02.2010 №58 формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
• Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
• Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
• Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Похожие записи:

• Как расторгнуть брачный договор?
• Как изменятся пенсии по инвалидности в 2023 году
• Как происходит отмена ликвидации ООО