Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

• Бланк и образец
• Бесплатная загрузка
• Онлайн просмотр
• Проверено экспертом

ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

• при подаче документов на ребенка в садик или школу;
• при трудоустройстве;
• при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

• фамилия, имя, отчество;
• дата и место рождения;
• сведения из паспорта, трудовой книжки и прочих документов;
• а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
2. биометрические (физиологические особенности индивида, его внешние параметры)
3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

• наименование компании-работодателя;
• место и дата составления документа;
• фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

• каких именно персональных данных касается документ;
• в каких целях и что именно допустимо с ними делать;
• срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Иваново

03.08.2018 г.

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Ковтун И.О. (подпись)

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие «идентификатора»

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

• Номер и серия паспорта.
• Страховой номер индивидуального лицевого счета (СНИЛС).
• Идентификационный номер налогоплательщика (ИНН).
• Биометрические данные.
• Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

• Фамилия, имя, отчество, дата рождения, место прописки.
• Фамилия, имя, отчество, дата рождения, должность.
• Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, ivanov.ivan@it-grad.ru). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

• Операционная система.
• Часовой пояс и время браузера в 24-часовом формате.
• Язык браузера.
• Глубина цвета и разрешение экрана.
• Поддерживает ли браузер и/или включен JavaScript.
• Версия JavaScript, поддерживаемая браузером.
• Тип соединения, используемый для передачи данных.
• Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее. В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

ФЗ «О персональных данных»: новые вопросы

Сергей Нагорный, независимый эксперт
Вадим Донцов, к.т.н., см.с, независимый эксперт

Нормы действующего законодательства

В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в зависимости от порядка ее предоста­вления или распространения информация подразделяется на следующие категории:

• свободно распространяемая информация;
• информация, предоставляемая по соглашению лиц, уча­ствующих в соответствующих отношениях;
• информация, которая в соответствии с федеральными зако­нами подлежит предоставлению или распространению;
• информация, распространение которой в Российской Феде­рации ограничивается или запрещается.

При этом правовое регулирование отношений, возника­ющих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

• установление ограничений доступа к информации только федеральными законами;
• обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
• достоверность информации и своевременность ее предоставления;
• неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

В соответствии с ФЗ-152, персональные данные — «это любая информация, относящаяся к определенному или опреде­ляемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образова­ние, профессия, доходы, другая информация».

Согласно ст. 9 «Ограничение доступа к информации» ФЗ-149:

• ограничение доступа к информации устанавливается феде­ральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности госу­дарства;
• обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными за­конами;
• федеральными законами устанавливаются условия отнесе­ния информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблю­дения конфиденциальности такой информации, а также ответ­ственность за ее разглашение;
• информация, полученная гражданами (физическими лица­ми) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложе­ны обязанности по соблюдению конфиденциальности такой информации;
• информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с фе­деральными законами и (или) по решению суда;
• срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе;
• запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено феде­ральными законами;
• порядок доступа к персональным данным граждан (физических лиц) устанавливается Федеральным зако­ном о персональных данных.

Рассмотрим в качестве примера отдельные виды тайн, установленные федеральным законодатель­ством РФ (см. таблицу).

Неразрешенные вопросы

Учитывая вышесказанное, возникают следующие не­разрешенные аспекты применения норм, изложенных в ФЗ «О персональных данных»:

Противоречия в определениях

Принимая во внимание разделение информации на 4 категории в зависимости от порядка ее предоставления или распространения, представленное выше, необходи­мо определить место информации, классифицируемой как «персональные данные». В противном случае возни­кнет противоречие с «охватываемыми» определением «персональные данные» понятиями медицинской тайны, тайны усыновления и т.п. Кроме того, адвокатская тайна, тайна банковского вклада, страховая тайна в принципе немыслимы без персональных данных, что подтвержда­ется практикой Министерства информационных техноло­гий и связи РФ, как контролирующего органа. А как быть с определением «коммерческая тайна» в части финанси­рования услуг сотовой связи физическими лицами или оплаты штрафов, а также открытости решений судов по гражданским делам?

Конечно, можно сослаться на норму закона, определяющую случаи, когда согласие субъекта ПД на обработку персональных данных не требуется:

• «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия операто­ра» (возможна ли обработка ПД без цели и определения круга лиц и оператором без полномочий?);
• «обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных» (не путать со случаем раскрытия ПД банком недобросовестного заемщика);
• «обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных» (при выполнении условия обезличивания нет «персональных данных», так как по определению это «информа­ция, относящаяся к определенному или определяемому на основании такой информации физическому лицу»);
• «обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно» (какими нормами федерального законодательства уста­новлены критерии невозможности получения «согласия субъекта персональных данных», если «в случае недее­способности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных»?);
• «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи»;
• «обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятель­ности при условии, что при этом не нарушаются права и свободы субъекта персональных данных (в соответствии со ст. 24 Конституции РФ, «сбор, хранение, использование и рас­пространение информации о частной жизни лица без его со­гласия не допускаются»).

Противоречия очевидны…

Классификация персональных данных

Федеральным законом «Об информации, информацион-ных технологиях и о защите информации» установлено, что «требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты инфор-мации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям».

Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» установил следующую иерархию требований по защите в зависимости от ценности (конфиденциальности) информации:

«Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А».

Таким образом, требуется уточнение следующих моментов:

1. К какой группе требований по защите информации относится класс «персональные данные»: государственная тайна, конфиденциальная информация, открытая информация? (В соответствии со ст. 9 ФЗ «Об информации, информационных технологиях и о защите информации», «федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение»).
2. Если предложенная выше классификация удовлетворяет ФЗ «О персональных данных», то можно ли использовать «иерархию требований по защите в зависимости от ценности (конфиденциальности) информации», предложенную в РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»? Если нет, то в чем отличие требований, изложенных в приказе ФСТЭК, ФСБ РФ и Министерства информационных тех-нологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от вышеназванного РД? Особенно если принять во внимание опыт перевода различных систем под «один знаменатель»: «При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычисли-тельной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
   • не ниже 4 класса — для класса защищенности АС 1В;
   • не ниже 3 класса — для класса защищенности АС 1Б;
   • не ниже 2 класса — для класса защищенности АС 1А».

Кто за что отвечает

В соответствии с ФЗ-152, «правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». При этом контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляется «федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Однако в постановлении от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Правительство РФ установило, что «технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». В свою очередь, «методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий».

Установившаяся система привела к следующему противоречию:

• «Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (Постановление Правительства РФ от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»). Теоретически возможны три способа управления процессом: ручной, автоматизированный, автоматический. Основное их отличие определяется степенью участия человека. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» раскрывает понятие «автоматизированная система» как «система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций».

Таким образом, становится очевидным следующее противоречие — комплекс «человек, работающий за компьютером» — автоматизированная система, а комплекс «человек, работающий за компьютером и обрабатывающий персональные данные» — неавтоматизированная система.

Комментарий эксперта

Максим Мамчиц, консультант ООО «ИнфоТехноПроект»

Вспоминая студенческую истину, «если нет вопросов, то ли­бо все понятно, либо ничего…», невольно приходишь к выводу, что тема про персональные данные является исключением, так как вопросов много, но никому ничего непонятно. Непонят­но, как выполнить требования по защите ПД, как уложиться в сроки (до 1 января 2010 г. осталось всего ничего) и как при этом не навредить своему бизнесу и самим субъектам ПД? Разобраться во всех хитросплетениях нормативно-правовой базы поможет другая народная мудрость: «Зри в корень!» А «в корне» у нас термины и определения. Именно несогласован­ность понятийного аппарата различных законодательных ак­тов, руководящих и методических документов привела к тако­му хаосу. Однако хаос этот во многом спровоцирован самими операторами ПД. Зачем, например, сплетать понятия «персо­нальные данные» и «неприкосновенность частной жизни» или «семейная тайна»? Персональные данные — это своего рода идентификатор субъекта, позволяющий ему строить свои от­ношения в обществе. Частная жизнь — это информация о процессе развития конкретного человека (род и образ жизни его, быт, деяния, поступки, похождения и пр.1). Право на неприкосновенность частной жизни, личную и семейную тайну закреплено Конституцией Российской Федерации, и никто его пока нарушать не собирается. В то же время предоставлять свои персональные данные иногда просто необходимо для нор­мальной жизни в обществе.

Тем не менее, все мировое сообщество пришло к выводу, что персональные данные не могут быть открытой информацией (за исключением ряда случаев) и их необходимо защищать. В нашей стране требования к защите информации различных категорий были описаны в руководящих документах Гостехкомиссии России, вот только на момент написания этих документов о ПД не шло и речи. С появлением новой категории информации потребовалась некая адаптация руководящих документов Гостехкомиссии, и в итоге в свет вышли четыре документа ФСТЭК и два документа ФСБ. Анализируя требования доку­ментов ФСТЭК и Гостехкомиссии, можно выявить соответствие классов ИСПД и АС, а именно (для многопользовательских систем с различным уровнем доступа):

1. ИСПД 1-го класса — АС класса 1В;
2. ИСПД 2-го класса — АС класса 1Г;
3. ИСПД 3-го класса — АС класса 1Д.

Также определяется и класс СВТ и МЭ, применяемых в ИСПД различных классов.

Однако не стоит забывать, что ИСПД необходимо сертифицировать по требованиям документов ФСТЭК и ФСБ в области ПД. Однако тут есть одна проблема: документы описывают требования к типовым ИСПД, а из ФЗ-152 следует вывод, что все ИСПД заведомо специальные, так как «…оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры… для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распростра­нения персональных данных, а также от иных неправомерных действий». Методики определения класса специальной ИСПД пока не существует, и вряд ли она появится до 01.01.2010 г. Как быть? Похоже, что и на этот вопрос придется отвечать самим операторам ПД.

1 См. В.И. Даль. Толковый словарь живого великорусского языка.

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)