Право гражданина на обеспечение защиты персональных данных. Персональные данные

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее - ПДн) - это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. "О персональных данных").

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн - данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн - данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта ( не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

4. Биометрические персональные данные - информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и , защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии - совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.
Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и , персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей - для физических лиц; от 5000 до 10000 рублей - должностных лиц, от 20 тысяч до 50 тысяч рублей - для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей - для физических лиц, от 4 до 5 тысяч рублей - для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Александр

Здравствуйте! Посмотрел свою кредитную историю, которая собирается на данных бюро кредитных историй. Вижу, что по мне делали запросы в БКИ без моего согласия два банка. У одного из них и моих персональных данных быть не должно. Законны ли запросы в БКИ этих двух банков? Что делать?

Сергей (старший юрист)

Здравствуйте, Александр! В соответствии с законом о кредитных историях банки могут делать запросы о кредитных историях граждан только при условии наличия на это их согласия. Это прямо прописано в ст. 6 указанного закона. Поэтому без получения Вашего согласия такие запросы являются незаконными.

Дмитрий

Здравствуйте. некое ООО "благоустройство" рассылает платежки с указанием моих ФИО адрес,кол-во прописанных и зарегистрированных людей при этом ни договора на обслуживание ни договора на обработку персональных данных я не подписывал. не нарушают ли они закон

Сергей (старший юрист)

Здравствуйте, Дмитрий! Распространение персональных данных людей таким образом, чтобы они стали доступными для неограниченного числа лиц является нарушением законодательства. В зависимости от обстоятельств дела это может быть квалифицировано как административное правонарушение или уголовное преступление.

Анна

Добрый день! Подскажите пожалуйста, представитель управляющей компании создал общую группу в вацапе, куда были добавлены все жители нашего дома. Соответственно данная группа содержит информацию по номерам телефонам всех жильцов. Имеет ли право управляющая компания создавать такие группы и открывать данные по номерам телефонов жителей, а также их ФИО без их согласия? По договору с управляющей компании, она имеет право передавать информацию по персональным данным третьим лицам только в целях выполнения своих обязанностей по договору

Сергей (старший юрист)

Здравствуйте, Анна! Право на создание групп в социальных сетях и мессенджерах имеют все граждане в соответствии с условиями пользования таких мессенджеров и социальных сетей. Скорее всего, в данную группу были приглашены жильцы дома, которые могут всегда отказаться от участия в такой группе. Кроме того, не доказано, что создание группы не направлено на достижение целей по выполнению обязательств управляющей компании перед жильцами. Поэтому в данной ситуации очень спорно наличие нарушения законодательства о персональных данных.

Дмитрий

Здравствуйте, ранее привлекался к уголовной ответственности, может ли работодатель запросить данные из полиции?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Запросить, конечно, может, но ему могут ответить отказом, так как у него нет права на получение данной конфиденциальной информации. Но у работодателя всегда есть возможность получить информацию о Вас через неофициальные каналы. Поэтому при желании он всегда сможет получить нужную информацию о кандидате на работу.

Евгений

Здравствуйте, работаю водителем общественного транспорта, руководство обязывает по громкой связи в салон при входе пассажиров объявлять свою Ф.И.О, является ли это нарушением закона о защите персональных данных? Могу ли я отказаться делать это?

Сергей (старший юрист)

Здравствуйте, Евгений! Если Вы согласитесь это делать, то никакого нарушения не будет, так как соответствующую информацию Вы сообщили добровольно. Но Вы можете отказаться от этого, если в трудовом договоре или других обязательных для Вас документах (например, должностная инструкция) нет такой обязанности. Насколько нам известно, на федеральном уровне такой обязанности у водителей нет.

Игорь

Добрый день, у нас в WhatsApp есть закрытая группа людей связанных определённой профессией. Для идентификации и понимания с кем мы общаемся мы попросили всех участников написать имена и фамилии, а также предоставить свою фотографию. Является ли это правомерным? Пояснение Группа создана для общения и помощи друг другу в работе. Так же в группе есть определённые правила, например о том что запрещено передавать переписку и данные пользователей третьим лицам.

Сергей (старший юрист)

Здравствуйте, Игорь! Если граждане самостоятельно будут выкладывать свои данные (которые могут быть и недостоверными), то никакого нарушения персональных данных тут не будет.

Алексей

Здравствуйте! Недавно в приложении тинькофф-банк на айфоне нашёл возможность пригласить друзей оформить карту. Функционал приложения предполагал просто нажатие кнопки "пригласить" напротив контактов телефонной книги, после чего номера телефонов, как я понимаю, отправлялись в банк и операторы банка звонили по этом номерам и предлагали оформить карты. Перед отправкой приглашений мне нигде не предлагалось ставить никаких галочек о передаче моих перс. данных, однако операторы банка обзваниваемым людям говорили не только что их телефон банку дал Алексей, но и называли мою фамилию. Сразу хочу оговорить, что моя фамилия очень редкая, в моём регионе (нижегородской области) я единственный носитель этой фамилии, да и в России тоже мало у кого такая фамилия. На следующий день я начал получать претензии от своих знакомых что Я (разумеется, они поняли, что это я) дал их номера банку. Я обратился в банк с претензией о нарушении закона 152-фз, однако юристы банка мне сказали, что фамилия не является персональными данными, позволяющими идентифицировать человека как физ.лицо, что они (банк) ничего не нарушают, а мои знакомые после общения с операторами банка определили меня лишь на основании "личных предположений" - вот их цитата: "Это личные предположения Ваших знакомых, как они поняли, что это именно Вы предоставили номер, неизвестно.", вот ещё их первый ответ: "Согласно ФЗ №152 под персональными данными понимается любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Фамилии и имени недостаточно, чтобы отнести данные к конкретному лицу. Таким образом, нарушения законодательства нет, как Вам ранее сообщали сотрудники." Скажите, пожалуйста, есть ли в данном случае нарушение закона 152-фз и есть ли смысл мне идти в суд и привлекать людей, которые после общения с операторами банка определили мою личность, как свидетелей по данному делу.

Сергей (старший юрист)

Здравствуйте, Алексей! Возможно, что Вы уже дали согласие на обработку своих персональных данных, установив приложение Тинькофф-банка. Посмотрите внимательно условия лицензионного соглашения к данному приложению. Думаю, Вы будете неприятно удивлены. Поэтому с большой долей вероятности можно утверждать, что формального нарушения закона о персональных данных в Вашей ситуации нет.

Александр

Мне позвонил некий сотрудник консалтинговой фирмы, представился и сказал, что когда-то он работал в некотором банке и при моем обращении на горячую линию этого банка помогал мне в некоторых операциях. На тот момент он являлся сотрудником банка и, соответственно, имел доступ к моим персональным данным. Скажите, его звонок как представителя фирмы, где мои данные (ФИО, телефон) появились незаконно, не подтверждает факт несанкционированной передачи моих персональных данных, т.е. нарушение Закона о персональных данных.

Сергей (старший юрист)

Здравствуйте, Александр! В данном случае, скорее, речь идет о неправомерном действии конкретного сотрудника, который мог воспользоваться имеющимся у него доступом к базе персональных данных клиента банка. В любом случае он не имел права копировать базу данных клиентов банка и использовать ее для работы в коммерческой организации.

Анна

Здравствуйте. Скажите пожалуйста, согласие на обработку ПД подписывается один раз при получении какой-либо услуги в больнице, или при каждом обращении?

Сергей (старший юрист)

Здравствуйте, Анна! Для точного соблюдения закона требуется, чтобы при каждом предоставлении персональных данных пациент давал согласие на их обработку. Но в то же время закон о персональных данных позволяет сделать вывод о том, что если человек уже неоднократно обращался к определенному оператору обработки персональных данных и уже предоставлял соответствующие персональные данные, то при отсутствии новых персональных данных получать согласие не требуется. Но для перестраховки больницы могут каждый раз требовать подписывать согласие на обработку персональных данных.

михаил

Высылаю алименты почтойимеется исполнительный лист, не указывая свое место работы,ежемесячноимеется задолженность, без просрочек, есть ли основание для вскрытия моей личной базы данных, бывшей женой, если я не являюсь злостным не плательщиком?

Сергей (старший юрист)

Здравствуйте, Михаил! Сторона исполнительного производства вправе знакомиться с материалами такого производства, в том числе содержащимися там персональными данными должника. Но при этом взыскатель по исполнительному производству не вправе разглашать такую информацию третьим лицам.

Елена

Здравствуйте! В сети в интернет в различных группах в открытом доступе гражданин,с которым у меня судебные разбирательства, выкладывает фотоматериалы из дела, в том числе с моими персональными данными ФИО, адрес, год рождения. Можно ли данного гражданина как-то привлечь к ответственности например за разглашение моих персональных данных? Спасибо

Сергей (старший юрист)

Здравствуйте, Елена! В действиях гражданина имеется факт нарушения Ваших персональных данных. Вы можете обратиться в прокуратуру или полицию для решения вопроса о возбуждении уголовного дела или привлечения гражданина к административной ответственности.

Иван Иванович

Является ли передача данных с видеокамер, администрацией рынка частному лицу, нарушением закона о персональных данных относительно меня.

Сергей (старший юрист)

Здравствуйте, Иван Иванович! Смотря для каких целей была передана запись. Если для раскрытия правонарушения или преступления, то такие действия не являются противоправными. Кроме того, само по себе видеоизображение территории, на которой находятся определенные лица, не содержит в себе никаких персональных данных и не позволяет идентифицировать человека по его фамилии, имени, адресу и т.д.

Александр

Здравствуйте! Некая организация, считающая, что я должен ей денег, хотя никаких договоров мы не заключали, прислало мне претензию открытым письмом, на листе бумаги, который попал не в мой почтовый ящик, по вменяемому долгу с указанием ФИО, адреса и суммы долга с пенями. Есть ли в этом факт нарушения моих прав на защиту персональных данных?

Сергей (старший юрист)

Здравствуйте, Александр! Нарушения законодательства о персональных данных нет, так как это письмо адресовалось именно Вам и отсутствуют доказательства умышленного распространения персональных данных. Кроме того, не известно, по какой именно причине письмо попало в чужой почтовый ящик. Может быть, это ошибка разносчика.

Александр

Здравствуйте, Сергей! А разве должностное лицо не запечатывая письмо с персональными данными не создаёт умышленно условия для их разглашения?

Сергей (старший юрист)

Нет. Письмо адресовалось Вам, а не размещалось для публичного обозрения. Конечно, Вы можете попытаться доказать обратное, но на это потребуется много времени и денег.

Олег Богородский

На одном из сайтов по биржевой торговле требуют пройти верификацию счёта с предоставлением фотокопии паспорта первой страницы и с пропиской, а также документ подтверждающий прописку. Правомерно ли это.

Сергей (старший юрист)

Здравствуйте, Олег! Ничего противозаконного в установлении личности пользователя нет. Более того, законодательство о противодействии отмыванию преступных доходов обязывает отдельные организации принимать меры по верификации своих клиентов.

Евгения

Добрый день! Работаю в снт бухгалтером. В ходе прокурорской проверки председатель затребовал от меня и кассира объяснительные записки, в которых мы указали свои фио и должности. В результате делопроизводитель выложил в общий чат снт наши объяснительные без нашего согласия и уведомления. Существует ли в этом случае нарушение персональных данных и чести и достоинства со стороны делопроизводителя?

Сергей (старший юрист)

Здравствуйте, Евгения! Формально имеется нарушение законодательства о персональных данных, но вот говорить о нарушении чести и достоинства этим фактом нельзя. Для этого должны быть более веские основания.

Андрей

Добрый день Елена. Коллега занимался соисканием новой должности. Фирма после изучения его резюме предложила пройти собеседование. В течение этого взаимодействия с работниками кадровой службы фирмы, как потом выяснилось они записывали все телефонные переговоры безведома коллеги. Результатом работы с кадровиками стали некоторые предварительные договоренности об условиях работы в новой должности. Когда пришло время уходить со старого места работы, коллеге действующее руководство предложило повышение в должности и более выгодные условия, и он принял решение остаться на старом месте работы. Свое решение сотрудник сообщил и фирме, спустя некоторое время на старое место работы пришло письмо от фирмы с приложением телефонных разговоров коллеги и письмом поясняющим обстоятельства этих переговоров. Вопрос: Возможно ли привлечь фирму должностных лиц за совершенные ими действия, если возможно, какая ответственность предусмотрена законом. С уважением, Андрей

Сергей (старший юрист)

Здравствуйте, Андрей! В действиях данной организации и ее должностных лиц имеются признаки преступления, предусмотренного ч. 2 ст. 138 УК РФ, то есть нарушение тайны телефонных переговоров. Надо писать заявление в следственный комитет РФ о возбуждении уголовного дела.

Юля

Скажите пожалуйста. Мой бывший муж в стадии алкогольного опьянения протаранил своим внедорожником мою машину. Сын в это время все снимал на телефон. Вызвали полицию. Полиция попросила скинуть на флешку снятое видео. На следующий день в Контактах появилась фейковая страница, и выложено это видео. городок у нас маленький, опозорились, у 12 летней дочери нервный срыв. Больше видео кроме ментов не кому не показывалось и не скидывалось, налицо дело рук ментов. Скажите правомерны ли их действия, если нет, то куда обращаться?

Сергей (старший юрист)

Здравствуйте, Юля! Действия однозначно являются противозаконными. Вам необходимо обратиться к начальнику местного РОВД для организации проведения служебной проверки по факту распространения материалов, составляющих тайну предварительного следствия. Также можно обратиться в прокуратуру с жалобой на действия сотрудников полиции.

Александр

При ознакомлении с материалами проверки по моему заявлению сотрудники полиции отказываются предоставить мне для ознакомления объяснение человека, в отношении которого мной написано заявление, ссылаясь на закон о персональных данных. Законно ли поступают в данной ситуации сотрудники полиции. Если нет, предусмотрена ли за это какая-то ответственность? Спасибо.

Сергей (старший юрист)

Здравствуйте, Александр! Действия сотрудников полиции являются незаконными, так как Вы имеете право в соответствии с УПК РФ знакомиться со всеми материалами проверки, касающимися Вас лично. Как минимум, подобные действия полицейских нарушают УПК РФ, что может быть основанием для их привлечения к дисциплинарной ответственности.

Наталья

Здравствуйте! На работе сложилась неприятная ситуация!!! Мой непосредственный начальник дал мне указание выписать из личных карточек форма Т-2 конкретных работников сведения о ФИО, дате рождении, месте проживания и номере телефона - для отчёта. Выписка была произведена в присутствии кадрового работника. Директор в настоящее время проводит служебную проверку и пытается наложить дисциплинарное взыскание за работу с "личными делами". Пояснения моего начальника и мои в расчёт не берутся - нужна "кровь". При трудоустройстве все сотрудники подписывают Согласие на обработку персональных данных. Грозит ли мне дисциплинарное взыскание, если информация была изъята по устному распоряжению моего непосредственного руководителя, для формирования отчёта. Разглашение информации каким бы то ни было третьим лицам, в моих ЛИЧНЫХ интересах! не было. Хотелось бы получить ответ со ссылкой на нормативные акты, для предоставления комиссии по служебной проверке. Спасибо!

Сергей (старший юрист)

Здравствуйте, Наталья! Формально Вы и Ваш непосредственный руководитель нарушили законодательство, так как к персональным данным работников доступ может иметь только специально уполномоченное лицо. Это предусмотрено ст. 88 Трудового кодекса РФ. Поэтому для выстраивания Вашей позиции защиты надо изучить все локальные документы относительно персональных данных и Вашу должностную инструкцию и трудовой договор.

Оксана

Здравствуйте. На работе оставила на столе свои резюме. Сотрудница без моего ведома взяла один экземпляр и передала руководителю.Спустя месяц мне руководитель сказала, что "Случайно" нашла резюме в интернете, хотя это полная ложь, данное резюме у меня существует только в виде файла. Могу ли я привлечь к ответственности сотрудника?

Сергей (старший юрист)

Здравствуйте, Оксана! Оснований для привлечения сотрудницы к ответственности нет, так как она целенаправленно не собирала сведения о Вашей частной жизни, не доводила до сведения широкого круга лиц полученные о Вас сведения. Кроме того, возможность распространения Ваших персональных данных появилась вследствие Вашей неосторожности. Да и в суде Вы не сможете доказать, что именно эта сотрудница взяла и передала руководству Ваше резюме, если, конечно, они сами не признаются в этом.

Светоана

Моя мама обратилилась в районое отделение пенсионного фонда за получением надбавки к пенсии. Там ей сказали что неоходимы оригиналы свидетельств о рождении на детей. При этом сказано что "если не получиться то документы выбросят".куда обратится для привлечения к ответственности работника в случае утраты имдокументов, может при подаче документов необходимо написать список предоставляемых документов иначе потом не докажешь что они были?Какая предусматривается ответственность за утрату дркументов?

Сергей (старший юрист)

Здравствуйте, Светлана! По меньшей мере факт утраты документов будет образовывать дисциплинарный проступок, за который виновное лицо должно понести ответственность от своего начальства вплоть до увольнения. В самых неблагоприятных случаях можно попытаться привлечь чиновника к уголовной ответственности за халатность, но это маловероятно, так как будет необходимо доказать наличие факта причинения значительного ущерба охраняемым законом правам и интересам граждан.

Ирина

Здравствуйте! Работаю в ЧОО. На одном из КПП установлена камера видеонаблюдения,на этом же КПП было нарушение пропускного режима. Я засветилась на видео. Работодатель собрал всех охранников и показал это видео! Правомерны ли его действия? Документ о персональных данных я подписывала,но года 2 назад! Моё согласие на обзор этого видео никто не спрашивал... Что я могу предъявить работодателю?

Сергей (старший юрист)

Здравствуйте, Ирина! В действиях работодателя никакого нарушения нет, так как этим видео никакие Ваши персональные данные не разглашаются. Кроме того, на видео, скорее всего, не специально запечатлены именно Вы, а КПП, являющееся центром фокуса. Поэтому шансы что-то отсудить у работодателя практически равны нулю.

талияНа

сотрудница забежала ко мне в кабинет, назвала меня старой каргой, змеей, пожелала уходить на пенсию и пить с мужем чай. Заведующая не дает мне домашний адрес этой сотрудницы, чтобы я указала его в исковом заявлении об оскорблении личности, ссылаясь на защиту персональных данных. Как мне быть?

Сергей (старший юрист)

Здравствуйте! Действия начальницы являются правомерными, так как без согласия человека нельзя разглашать его персональные данные. Для получения домашнего адреса Вы можете сначала написать заявление в полицию, которая при получении объяснения с этой женщины узнает ее домашний адрес. Вы потом можете ознакомиться с материалами проверки.

Дмитрий

Здравствуйте. я Работаю в системе образования. Недавно органы власти областного уровня спустили сверху указание собрать сведения о родителях части воспитанников Ф.И.О и паспортные данные для того чтобы компенсировать расходы на питание в учреждении. Дело-то хорошее, но вот насколько законно с нашей стороны собирать такие данные?

Сергей (старший юрист)

Здравствуйте, Дмитрий! Сбор подобных данных не будет содержать признаков какого-либо правонарушения, если родители добровольно согласятся предоставить такую информацию. Если Вы им объясните для каких целей необходимы сведения, то, думаю, все родители правильно поймут Вас.

Ольга

Здравствуйте! Я главбух на предприятии. Сотрудница взяла кредит, указала телефон сменщицы кроме своего. Кредит не оплачен. При очередном звонке о задолженности сменщица указала мой личный сотовый телефон. Из вредности. Теперь кредит справляют с меня. Постоянно звонки и смс. На мои объяснения не реагируют. К кредиту отношения не имею совершенно. Как это прекратить? Что мне сказать или написать банку? И возможно привлечь к ответственности физлицо за разглашение моего телефона. Спасибо!

Сергей (старший юрист)

Здравствуйте, Ольга! Вы можете сказать при следующем звонке о том, что обратитесь в уполномоченные органы с заявлением о привлечении банк к административной ответственности за нарушение законодательства о персональных данных. Также можно написать в банк заявление о прекращении обработки Ваших персональных данных. С сотрудницы, которая оставила Ваш номер телефона, Вы можете потребовать компенсации морального вреда в судебном порядке.

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

  • Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
  • Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
  • Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
  • Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
  • Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
  • В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Персональные данные работника - тема сейчас особо актуальная. Чтобы не оштрафовали ГИТ и Роскомнадзор, читайте о том, как правильно обрабатывать персданные, как их хранить и как защитить. Скачайте готовые образцы всех необходимых документов

Из этой статьи вы узнаете:

Персональные данные работника: что к ним относится

Для начала нужно четко определить, что относится к персональным данным (ПДн). Они имеются в ведении каждой компании, и их можно условно разделить на два вида:

  1. Документы, которые служащий предоставил сам при трудоустройстве (ст.65 ТК РФ).
  2. Документы, образовавшиеся в процессе работы (приказы, личная карточка, бухгалтерские бумаги по оплате труда).

Все эти данные конфиденциальны и нуждаются в защите.

Законодательно установлены такие категории персональных данных:

Письмо Роскомнадзора от 14.12.2012 г. определяет еще ряд случаев, например, при обработке:

  • ПДн родных служащего, зафиксированных в его досье (при праве на алименты, на соцвыплаты и допуске к государственной тайне);
  • медицинской информации, связанной с возможностью выполнения трудовой функции;
  • ПДн, требующихся для пропуска;
  • размещении ПДн персонала в интернете.

Защита персональных данных в организации: пошаговая инструкция

Шаг 1. Разработать и утвердить Положение о защите персональных данных.

Шаг 2. Оформить лист ознакомления с Положением, в котором каждый служащий расписывается после знакомства с документом с проставлением даты.

Шаг 3. Разработать и утвердить Инструкцию для ответственного (можно оформить приложением к Положению).

Уведомлять Роскомнадзор о начале сбора ПДн сотрудников не нужно, поскольку он ведется в рамках трудовых отношений.

Шаг 4. Издать приказ об организации обработки ПДн на предприятии.

Шаг 5. Составить и утвердить Перечень персональных данных, обрабатываемых в организации.

Шаг 6. Приказом назначить ответственного за обработку ПДн .

Шаг 7. Издать приказ об установлении списка лиц, обладающих доступом к личным сведениям о персонале.

Шаг 8. Взять от каждого сотрудника его письменное согласие на обработку личной информации.

Шаг 9. Обеспечить надежное хранение бумажных документов в спецшкафах либо сейфах.

Шаг 10. При хранении сведений в базе данных предварительно следует составить акт ее классификации и определения уровня ее защищенности.

Комплект документов по защите персональных данных

Разработка пакета документов по защите персональных данных в 2018 потребуется для любого их оператора. Причем ФЗ №152 не оговаривает перечень документов и не предлагает их форм, а посему каждая компания вправе самостоятельно определить состав пакета. Все материалы по защите ПДн на предприятии можно разбить на три подвида:

1. Организационные:

  • положение о защите ПДн;
  • должностные инструкции;
  • приказы (о назначении ответственных и имеющих доступ и т.д.)

2. Технологические (инструкции).

3. Методические (правила работы с ПДн).

Срок хранения персональных данных

ПДн собраны в досье служащего, а срок его хранения определен в 75 лет. Исключение составляют данные руководителей, работников, имеющих звания (премии, награды, ученые степени) – их следует хранить постоянно.

Р ешения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю - ФСТЭК;
  • Федеральная служба безопасности - ФСБ.

Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.

Что входит в понятие «персональные данные»?

Определение персональных данных (ПДн) содержится в законе 152-ФЗ .

Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом - получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети - это всего лишь несколько примеров из обширного списка операторов ПДн.

Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года ) до административной ответственности, не исключено и уголовное преследование.

Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации. Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур - жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.

Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории. Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.

Наиболее сложный и затратный процесс - внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн) , в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу специальных ПДн . Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.

Высоки требования закона к обеспечению защищенности и биометрических ПДн : биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.

Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн . Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.

К четвертой категории - иных ПДн - причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные. Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.

Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.

Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз. Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций , включая:

В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя. Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.

Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:

1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.

2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119 .

3. Использовать средства информационной защиты, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.

4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.

5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.

6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.

7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.

8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.

9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.

Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21 . Например:

1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации - объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.

2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.

3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.

4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.

5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже - полного) выхода из строя информационной инфраструктуры.

6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.

7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.

8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.

Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами. В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация - обработчик данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.

Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.

Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн - это стандартные документы. Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн - несложная задача для специализированного ПО.

Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.

Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты - деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.

Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.

Небольшим организациям - обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.

Содержатся в Федеральном законе «О персональных данных». В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с ч. 1 ст. 85 Г К РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Оценочный характер данного определения отражает лишь общий подход законодателя к категории персональных данных работника. Работодатель может собирать и обрабатывать не любую информацию о лице, являющемся его работником, а лишь ту, которая непосредственно связана с его трудовым правоотношением.

Защиту персональных данных работника можно рассматривать в нескольких аспектах. Во-первых, это гарантии, закрепленные в трудовом праве, которое представляет собой совокупность норм, регулирующих отношения по поводу персональных данных работника. Во-вторых, это система мероприятий организационно-правового характера, направленных на реализацию законодательных положений и выражающих политику работодателя в данной сфере. В-третьих, это обеспечение субъективного права работника на защиту своих персональных данных.

Информационные отношения возникают как между работником и работодателем, так и между каждым из них и третьими лицами. Отношения между работником и работодателем являются основными информационными отношениями. Поэтому их регулированию в законодательстве о труде отдастся приоритет. Работник не только обязан предоставлять сведения о себе, но и имеет право получать достоверную информацию об условиях труда и о требованиях охраны труда на рабочем месте (ст. 21 ТК РФ). Каждый работник имеет право на получение от работодателя достоверной информации об условиях и охране труда на рабочем месте, о существующем риске повреждения здоровья, а также о мерах по защите от воздействия вредных и (или) опасных производственных факторов (ч. 3 ст. 219 ТК РФ). Статья 210 этого Кодекса содержит термин «единая информационная система охраны труда». Получение от работодателя информации по вопросам, непосредственно затрагивающим интересы работников, является одной из основных форм участия работников в управлении организацией (ст. 53 ТК РФ). Работодатель обязан предоставлять представи телям работников полную и достоверную информацию, необходимую для заключения коллективного договора, соглашения и контроля за их выполнением (ст. 22 ТК РФ).

Определенные нормы отечественного кодифицированного закона о труде регулируют отношения по поводу конфиденциальной информации. Согласно ч. 3 ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной). Работодатель имеет право расторгнуть трудовой договор в случаях разглашения работником охраняемой законом тайны, ставшей известной ему в связи с исполнением им трудовых обязанностей, прекращения допуска к государственной тайне, если выполняемая работа требует допуска к государственной тайне (подп. «в» п. 6 ст. 81 ТК РФ). На работника возлагается материальная ответственность в полном размере причиненного ущерба в случае разглашения сведений, составляющих охраняемую законом тайну. В соответствии с ч. 8 ст. 37 ТК РФ участники коллективных переговоров, другие лица, связанные с велением коллективных переговоров, не должны разглашать полученные сведения, если эти сведения относятся к охраняемой законом тайне. Лица, разгласившие указанные сведения, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в установленном законодательством порядке. Персональные данные гражданина в соответствии с действующими нормативными актами относятся к сведениям конфиденциального характера 1 . Поэтому положения ТК РФ по поводу охраняемой законом тайны также относятся к персональным данным работника.

В рыночных условиях хозяйствования эффективность и результативность деятельности работодателя непосредственным образом связаны с ее своевременным обеспечением информационными ресурсами. Деятельность работодателя в отношении персональных данных работника регулируется императивными нормами, что обусловлено публичной составляющей отрасли трудового права в целом и института защиты персональных данных работника в частности. Право на защиту персональных данных имеет абсолютный характер. Оно предоставлено каждому работнику безотносительно к размеру его вклада в достижение организацией поставленных задач. Поэтому согласно п. 9 ст. 86 ТК РФ работники не должны отказываться от своих прав на сохранение и защиту тайны.

Свое право на защиту персональных данных работники могут реализовать путем свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника; путем определения своих представителей для защиты своих персональных данных; путем получения полной информации о персональных данных и их обработке; путем предъявления к работодателю требования об исключении или исправлении неверных либо неполных персональных данных, а также данных, обработанных с нарушением законодательных требований; путем обжалования в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника и др. (ст. 89 ТК РФ).

Состав персональных данных

При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами (п. 2 ст. 86 ТК РФ). В своей деятельности работодатель использует документы двух видов. Первую группу документированной информации представляет работник при заключении трудового договора. Документы второй группы работодатель формирует самостоятельно. Трудовая книжка работника может относиться как к первой, так и ко второй группе документов. Это зависит от того, имеется она у работника до возникновения трудовых отношений с данным работодателем или заполняется впервые.

Документы первой категории в ТК РФ названы «документами, предъявляемыми при заключении трудового договора» (ст. 65). К ним относятся паспорт или иной документ, удостоверяющий личность; трудовая книжка; страховое свидетельство государственного пенсионного страхования; документы воинского учета; документы об образовании, о квалификации или наличии специальных знаний; иные документы, необходимость предъявления которых предусмотрена законодательством. Перечисленные документы содержат фотоизображение работника, информацию об имени, фамилии, отчестве, дате и месте рождения, состоянии в браке, составе семьи, месте регистрации, отношении к воинской службе, гражданстве, времени, месте получения образования, специальности работника.

Вторая группа документов создается работодателем. В подзаконных актах она обозначается как «первичная учетная документация по учету труда и его оплаты». К ним относятся приказы (распоряжения) о приеме, перемещении работника, расторжении трудового договора с ним, поощрении работника, а также личная карточка работника, документы по расчетам с персоналом по оплате труда. Помимо сведений, дублирующих положения первой группы документов, они содержат информацию об общем и непрерывном стаже работы, датах приема и переводов на другую работу, структурном подразделении, решении аттестационной комиссии, повышении квалификации, профессиональной переподготовке, поощрениях и наградах работника, сроках и видах отпусков, социальных льготах, на которые работник имеет право.

Ответственность за нарушение норм, регулирующих защиту персональных данных работника

В соответствии с действующим законодательством предусмотрено несколько видов ответственности за нарушение норм в области защиты персональных данных (гражданско-правовая, материальная, дисциплинарная, административная и уголовная). Для отдельных составов правонарушений установлены санкции в отношении не только физических и должностных, но и юридических лиц. Таким образом, привлечение к отдельным видам ответственности возможно и для работников, и для работодателей.

Статья 150 ГК РФ к числу неотъемлемых и неотчуждаемых нематериальных прав, подлежащих правовой защите, относит личную неприкосновенность, неприкосновенность частной жизни, личную и семейную тайну. Гражданско-правовая ответственность за посягательство на неприкосновенность частной жизни непосредственно связана с категорией морального вреда. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.

При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные, заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред (ст. 151 ГК РФ). Кроме того, гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности. Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина (ст. 152 и 153 ГК РФ). Разъяснения вопросов, связанных с причинением морального вреда, содержатся в постановлении Пленума Верховного Суда РФ от 20 декабря 1994 г. № 10 «Некоторые вопросы применения законодательства о компенсации морального вреда». Компенсация морального вреда осуществляется в денежной форме. Характер физических и нравственных страданий оценивается судом с учетом фактических обстоятельств, при которых был причинен моральный вред, и индивидуальных особенностей потерпевшего (ст. 1101 ГК РФ).

Работника за разглашение сведений, относящихся к персональным данным других работников, возлагается на него в полном размере причиненного ущерба (п. 7 ст. 243 ТК РФ). Случаи полной материальной ответственности являются исключениями из общего правила, что подтверждает особое значение института защиты персональных данных работников в отечественном трудовом праве.

В виде увольнения наступает для работника, разгласившего охраняемую законом тайну (в том числе персональные данные другого работника). Однако необходимо, чтобы эти сведения стали известны работнику в связи с исполнением им своих трудовых обязанностей (поди, «в» п. 6 ст. 81 ТК РФ). В соответствии со ст. 192 ТК РФ привлечение работника, совершившего дисциплинарный проступок, является правом, а не обязанностью работодателя. При наложении дисциплинарного взыскания работодатель должен учесть тяжесть совершенного проступка и обстоятельства, при которых он был совершен. Поэтому вместо увольнения работодатель вправе наложить на виновное лицо взыскание в виде замечания или выговора. Права и обязанности работника в отношении доступа к персональным данным других работников определяются сто трудовой функцией, другими условиями трудового договора, а также содержанием локальных нормативных правовых актов, определяющих перечень его должностных обязанностей.

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 0,3 тыс. до 0,5 тыс. руб.; на должностных лиц — от 0,5 тыс. до 1 тыс. руб.; на юридических лиц — от 5 тыс. до 10 тыс. руб. (ст. 13.11 Кодекса РФ об административных правонарушениях (далее — КоАП РФ)). Разглашение информации ограниченного доступа лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 0,5 тыс. до 1 тыс. руб.; на должностных лиц — от 4 тыс. до 5 тыс. руб. (ст. 13.14 КоАП РФ).

За нарушение неприкосновенности частной жизни предусмотрена ст. 137 Уголовного кодекса РФ (далее — УК РФ). Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 тыс. до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.