Новое о персональных данных

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

• Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
• Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
• Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
• Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

• предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
• предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
• клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

1. Уведомление об обработке ПДн (для Роскомнадзора).
2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
3. Согласие субъекта на обработку его персональных данных.
4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
6. Документы по организации приема и обработки обращений и запросов субъектов.
7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
4. Разграничить права доступа к ПДн в ИС.

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

• средства защиты от несанкционированного доступа;
• антивирусные программы;
• межсетевые экраны;
• криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России

Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
2. Запрет на коммерческое использование полученных данных.
3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

1. имя;
2. фамилия и паспортные данные;
3. место и дата рождения;
4. адрес прописки либо проживания;
5. семейное положение;
6. информация о доходах и задолженностях;
7. специальность, профессия,
8. информация о занятости;
9. доходы.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Биометрические ПД

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Нормативная база

Перечень законов о персональных данных:

• Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
• Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
• Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
• Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
• Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
• ГОСТы по информационной безопасности и защите информации;
• ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
• ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
• ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
• ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
• ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
• ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

ПРАВА СУБЪЕКТА ПДН

3.1. Согласие субъекта ПДн на обработку его ПДн

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.2. Права субъекта ПДн

Субъект ПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн.

Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.

Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.

Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

Порядок отзыва согласия на обработку персональных данных Что еще стоит знать

Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.

Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.

Образец

На некоторых предприятиях на основании заявления издается приказ об изменении информации о сотруднике. Образец этого документа можно скачать ниже. Но для облегчения процедуры зачастую просто готовится дополнительное соглашение, вносятся изменения в личную карточку, трудовую книжку работника и другие документы при необходимости.

Особое внимание уделяется конфиденциальности информации о пациентах медицинских учреждений. Прежде всего обязанность хранить молчание о состоянии пациентов лежит на самом враче

Но это не снимает с администрации лечебного учреждения необходимость издать приказ «Перечень персональных данных пациентов, подлежащих защите».

Образец приказа об изменении персональных данных работника

Правовые документы

• Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты
• Федеральный закон от 27.07.2006 N 152-ФЗ
• Статья 86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты
• Приказ Минкомсвязи России от 14.11.2011 N 312
• Постановление Правительства РФ от 13.02.2019 N 146
• Статья 81 ТК РФ. Расторжение трудового договора по инициативе работодателя
• Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных
• Статья 137 УК РФ. Нарушение неприкосновенности частной жизни

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

• Конституция Российской Федерации;
• ст. 85 Трудового кодекса РФ;
• Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
• Указ Президента России от 06.03.1977 г. № 188.

https://www.youtube.com/watch?v=ytpolicyandsafetyru

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

• ФИО физического лица;
• дата рождения;
• место проживания и/или прописки;
• полученное человеком образование;
• состав семьи;
• социальный статус;
• сведения, касающиеся владения имуществом;
• ранее занимаемые им должности;
• уровень получаемых доходов и их источники;
• иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Актуальные угрозы, типы

К актуальным относят угрозы, представляющие собой группу условий и факторов, создающих определенную опасность неразрешенного (также и случайного) доступа к ПД во время работы с ними в ИС. Такие действия могут привести к тому, что важная конфиденциальная информация может быть уничтожена, изменена, заблокирована, скопирована, предоставлена кому-либо, распространена или даже использована для выполнения неправомерных действий.

Законодательство выделяет три типа угроз, которые могут быть актуальными для персональных данных:

• к угрозам первого типа в информсистеме относятся те из них, которые в этой системе дополняются угрозами, связанными с недокументированными возможностями в системном ПО, которое применяется в данной ИС;
• угрозами второго типа являются актуальные для ИС угрозы, включая связанные с недокументированными возможностями с использованием прикладного ПО, которое используется в ИС;
• угрозы третьего уровня в ИС, которые не связаны с недокументированными возможностями в системном и прикладном ПО, которое в этой системе применяется.

Оператор самостоятельно определяет для себя тип угроз, актуальных для безопасности ПД, учитывая возможный ущерб, который они могут нанести, и ориентируясь на пункт 5 части 1 ст. 18 ФЗ о персональных данных, а также на ч. 4 ст. 19 этого же документа.

Персональные данные и Интернет

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам. Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. 

Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов. Отслеживание активности пользователя позволяет повышать конверсию продаж.

Какими могут быть посягательства

Выделяют три актуальных типа угроз безопасности персональной информации, имеющей отношение к какой-либо ИСПД:

1. Наличие в программном обеспечении незадекларированных возможностей, позволяющих использовать и обрабатывать информацию за пределами конкретной системы. Как правило, этот тип посягательств непосредственно связан с теми лицами, которым была предоставлена информация.
2. Присутствие в ИСПД какого-либо дополнительного элемента, компонента, который обеспечивает утечку данных, впоследствии обрабатываемых и используемых на стороне.
3. Наличие злого умысла и участие пресловутого человеческого фактора. То есть входящие в него разновидности посягательств никоим образом не связаны с самой системой и применяемыми в ней технологиями.

Как правило, описания типов угроз ассоциируются исключительно с виртуальными сетями, компьютерами и иными технологиями. Однако это не совсем верное понимание. Системой, при помощи которой обрабатываются персональные данные, может являться и что-то, что не имеет к ним отношения. Например, домашний шкаф, в котором лежат документы членов семьи, это тоже хранилище информации, нуждающееся в обеспечении защиты. Вероятные угрозы в данном случае попадают под третий тип посягательств.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

https://www.youtube.com/watch?v=ytdevru

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Оформляем согласие работников на передачу их персональных данных третьему лицу

Сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника. В этой статье мы рассмотрим, как правильно оформить передачу персональных данных третьему лицу.

Сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника. В этой статье мы рассмотрим, как правильно оформить передачу персональных данных третьему лицу.

Для чего нужен документ

В Положении определяется порядок обращения (получение, хранение, комбинирование, передача и любое другое использование) с персональными данными работников.

Что обязательно должно быть в документе

Состав персональных данных работников, порядок получения, хранения, комбинирования и передачи персональных данных.

Внимание! Работодатель обязан ознакомить работника с Положением о защите персональных данных под роспись до заключения трудового договора. Совет В приложении к Положению о защите персональных данных рекомендуется указать перечень лиц, имеющих доступ к персональным данным работников

Совет В приложении к Положению о защите персональных данных рекомендуется указать перечень лиц, имеющих доступ к персональным данным работников.

Для чего нужен документ

На основании такого запроса работодатель спрашивает у работника согласие на использование его персональных данных.

Что обязательно должно быть в документе

Наименование лица, делающего запрос, наименование адресата, перечень персональных данных работника, которые требуется предоставить, цель, с которой необходимо предоставить эти данные.

Внимание! В запросе обязательно должна быть указана цель, в соответствии с которой необходимо предоставить персональные данные работника. Иначе вы можете отказать третьему лицу в предоставлении персональных данных работника

Для чего нужен документ

Работодатель ставит работника в известность о запросе и просит его дать свое согласие на предоставление персональных данных третьему лицу.

О  согласии на обработку персональных данных читайте далее

Что обязательно должно быть в документе

Перечень персональных данных, цель запроса, наименование лица, направившего запрос.

Совет Рекомендуем ознакомить работника с уведомлением под роспись.

Для чего нужен документ

Работодатель имеет право предоставить персональные данные работника третьей стороне только на основании согласия самого работника.

Что обязательно должно быть в документе

Фамилия, имя, отчество и паспортные данные работника, перечень персональных данных и цель их предоставления, наименование лица, которому будут переданы персональные данные.

Совет При согласии на использование его персональных данных работнику желательно определить срок действия данного им разрешения.

Внимание! Для обработки персональных данных, содержащихся в этом документе, дополнительного согласия не требуется

Для чего нужен документ

В ответе на запрос работодатель предоставляет отправителю запроса необходимые персональные данные работника.

Что обязательно должно быть в документе

Запрошенные персональные данные, порядок их использования.

Совет Работодатель может потребовать от третьего лица подтверждение того, что переданная информация была использована в определенных в запросе целях.

Для чего нужен документ

Документ подтверждает, что в соответствии с пунктом 3 части первой статьи 88 Трудового кодекса предоставленные третьей стороне персональные данные работника использованы исключительно в целях, для которых они были истребованы.

Что обязательно должно быть в документе

Перечень персональных данных, подтверждение того, что они были истребованы в соответствии с указанными в первоначальном запросе целями.

Что это такое

Законодательство относит к персональной информации любые сведения, которые имеют отношение к конкретному лицу. Причём речь идёт не только о той, которая прямо относится к нему, но и о любых косвенных данных. Это определение является очень широким. Нужно заметить, что в нём не говорится о том, что данные должны обязательно идентифицировать конкретное лицо.

При таком подходе очень сложно найти ту информацию, которая не подпадает под действие закона.

Для того, чтобы более точно понять, что относится к персональным данным, можно сделать запрос в соответствующую инстанцию за разъяснением. Данным вопросом, как известно, занимается Роскомнадзор.

Был сделан запрос о том, существует ли минимальный набор данных о конкретном человеке, которые можно отнести к персональной информации, идентифицирующей его. Роскомнадзор рассмотрел это обращение и ответил следующее. Был проведён мониторинг законодательства и выяснилось, что существуют десятки нормативных актов, в которых к данным личного характера относят различные перечни информации.

При этом было указано, что данный вопрос рассматривается в большом количестве действующих документов. К ним относятся следующие нормативные акты:

• 250 документов, изданных Правительством РФ;
• 75 международных нормативных актов;
• более сотни федеральных законов;
• 13 Кодексов.

Расширенное понимание того, что относится к таким данным является гораздо более широким по сравнению с тем, что можно ожидать. При этом перечень персональных данных превосходит тот минимальный набор информации, на основании которого можно идентифицировать конкретное физическое лицо.

В связи со сказанным возникает вопрос о необходимости определения более чётких рамок того, что относится к персональной информации, а что в неё не включается. Вопрос о том, включаются ли паспортные данные в эту категорию, имеет утвердительный ответ, но в большинстве случаев вопрос гораздо более сложен.

Если это так, то вся входящая в этот список информация рассматривается в качестве персональной. В случае, когда данное условие не выполняется, эти данные не подпадают под действие соответствующего закона.

Какая информация относится к персональным данным?

Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо. Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д. 
Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям. 

К перечню основных персональных данных относятся: 

• ФИО субъекта;
• место постоянного (временного) проживания;
• дата рождения;
• любые данные о семейном, финансовом положении;
• любые данные, связанные с родом деятельности, заработком, образованием. 

Все персональные данные принято делить на четыре группы:

1. К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п. Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках. 

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица. К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д. 

3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК. 

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным. Например, уровень дохода представителей муниципалитетов, государственных учреждений.

Персональными данными физических лиц по закону считаются:

• ФИО;
• ИНН и дата рождения;
• гражданство согласно гражданскому паспорту и место рождения;
• данные о регистрации и фактическом месте жительства;
• данные о родственниках и супругах;
• данные о дееспособности, свидетельство о смерти;
• сведения о наличии образования;
• сведения о пенсионных доходах;
• данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
• данные о налоговых платежах;
• информация о воинской обязанности. 

Персональными данными юридических лиц по закону считаются:

• наименование юрлица;
• юрадрес и организационно-правовая форма;
• местоположение юрлица;
• ОГРН;
• ИНН и КПП;
• номер расчетного счета.

К данному перечню также можно причислить сведения о руководителе.