Раздел 3. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Федеральным законодательством Российской Федерации установлен особый правовой режим оборота персональных данных.

Согласно статье 7 Конвенции для защиты персональных данных, хранящихся в автоматизированных базах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных.

Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» персональные данные (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) отнесены к категории конфиденциальной информации.

Законом о персональных данных в статье 7 предусмотрено, что операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

Статьей 9 Закона об информации также установлено, что обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Согласно ст. 19 Закона о персональных данных, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Законом об информации (п. 4 ст. 16) установлено, что обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; постоянный контроль за обеспечением уровня защищенности информации.

Статьей 24 Закона о персональных данных и статьей 17 Закона об информации предусмотрена дисциплинарная, гражданско-правовая, административная и уголовная ответственность для лиц, виновных в нарушении данных требований.

Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 № 687 (далее - Положение), в пункте 1 которого уточняется, что если использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека, то такая обработка считается осуществленной без использования средств автоматизации (неавтоматизированной).

Под автоматизированной обработкой, согласно ст. 3 Закона о персональных данных, понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации.

Согласно п. 4 Положения персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для каждой категории персональных данных должен использоваться отдельный материальный носитель (п. 5 Положения).

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. работники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), согласно п. 6 Положения должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных (например, унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 05.01.2004 № 1[4]) изложены в п.7 Положения.

В соответствии с пп. «а» п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.

Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. «б» п. 7 Положения).

При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. «в» п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. «г» п. 7 Положения).

Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Требования). Согласно пункту 2 Требований система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

В соответствии с пунктом 6 Требований под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Для обработки персональных данных работников организации, как правило, необходим 4 (минимальный) уровень защиты персональных данных.

Согласно п.13 Требований для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В соответствии со ст. 21 Закона о персональных данных оператор (работодатель) также обязан:

- осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента обращения субъекта персональных данных или его законного представителя либо получения запроса уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данныхили неправомерных действий с ними оператора на период проверки.

В случае подтверждения факта недостоверности персональных данных работодатель на основании документов, представленных работником персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

- устранить допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в случае достижения цели обработки персональных данныхв срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган;

- прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Наши рекомендации