Скачать книгу
Если нет возможности читать онлайн, скачайте книгу Персональные данные в организации файлом для электронной книжки и читайте офлайн.
Персональные данные в организации
Ирина Андрианова
© Ирина Андрианова, 2023
ISBN 978-5-0059-7035-0
Создано в интеллектуальной издательской системе Ridero
1. ОСНОВНЫЕ ПОНЯТИЯ, КЛАССИФИКАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЗОР ЗАКОНОДАТЕЛЬСТВА
Как организовать работу с персональными данными сотрудников, клиентов, контрагентов в организации? Какие документы по обработке и защите персональных данных должны быть разработаны и какими нормативно-правовыми актами необходимо руководствоваться?
Ответы на каждый из этих вопросов дают федеральные законы и другие нормативные правовые акты Российской Федерации, которые являются основанием для работы с персональными данными в любой организации (предприятии, учреждении).
Конституция Российской Федерации гарантирует каждому гражданину нашей страны право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства (ст. 23) и устанавливает запрет на сбор, хранение, использование информации о частной жизни человека без его согласия. На основании Конституции был создан Федеральный закон о персональных данных для обеспечения прав людей и защиты личных сведений.
1.1. Федеральный закон о персональных данных
Основной закон, регулирующий работу с персональными данными Федеральный закон от 27.07.2006 152-ФЗ «О персональных данных» (далее ФЗ-152). В нем содержатся порядок работы с персональными данными, принципы и условия их обработки, требования к содержанию некоторых документов, например, согласий на обработку ПДн, права субъекта ПДн и обязанности оператора.
Основные понятия ФЗ-152 содержатся в статье 3.
Персональные данные (далее ПДн) это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 ФЗ-152). Т. е. это информация, которая относится к конкретному человеку, например, ФИО, пол, возраст, дата рождения, номер телефона, адрес электронной почты и др. Однако, некоторые данные не являются ПДн сами по себе, а становятся таковыми только в совокупности с другими сведениями. Например, сам номер телефона без ФИО не является ПДн, т. к. идентифицировать человека в этом случае невозможно. А если организация обрабатывает и хранит данные в совокупности (ФИО, номер телефона, email), то и номер телефона и адрес электронной почты являются персональными данными. Также фамилия, имя, отчество являются персональными данными только в привязке к другим данным, например, паспортным (дата и место рождения, номер паспорта и тп).
Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн, т. е. оператором персональных данных являются все организации, учреждения, предприятия, которые собирают, распространяют, обрабатывают и хранят ПДн работников, а также клиентов и контрагентов (п.2 ст. 3 ФЗ-152).
Субъект персональных данных это физическое лицо, которое идентифицируется с помощью конкретных ПДн, т. е. носитель этих данных. Законодательством предусмотрено 2 основные категории субъектов ПДн работники организации и те, кто ими не является. К субъектам ПДн относятся: работники оператора, соискатели, бывшие работники, родственники работников; контрагенты и клиенты (физ. лица); законные представители, работники юр. лиц, являющихся клиентами, контрагентами оператора.
Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ 152). Т. е. обработка это любые действия с персональными данными.
Например, сотрудник при трудоустройстве предоставил работодателю документы со сведениями о себе и своей трудовой деятельности. Сотрудник это субъект персональных данных, работодатель оператор, который собирает эти данные о сотруднике, хранит и анализирует, т.е. обрабатывает персональные данные конкретного работника.
Обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения ПДн);
Уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 ФЗ-152).
1.2. Информационная система и виды обработки ПДн
Во многих организациях персональные данные обрабатываются в специальных кадровых, бухгалтерских и других программах, собираются и размещаются на сайтах компаний и др., а также обрабатываются в государственных информационных системах (ГИС).
Информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10 ст.3 ФЗ-152).
ФЗ-152 определяет следующие способы обработки персональных данных:
1) неавтоматизированная обработка ПДн без использования средств автоматизации, т. е. вручную, когда сведения вносятся человеком. Особенности организации такой обработки ПДн, а также меры по защите ПДн обозначены в Постановлении Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В этом документе прописан порядок работы с материальными носителями ПДн и меры по обеспечению безопасности ПДн при такой обработке.
2) автоматизированная обработка персональных данных с помощью средств вычислительной техники (компьютеров и других электронных устройств, баз данных, средств криптозащиты, программ, скриптов и тп. 9 (п. 4 ст.3 ФЗ-152). Состав и содержание мер по обеспечению безопасности персональных данных существенно больше, чем при неавтоматизированной обработке, и обозначены в приказе ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
3) смешанная обработка сведений происходит и автоматизированным и неавтоматизированным способом.
Некоторые компании (например, турагентства) в ходе своей деятельности передают персональные данные за границу, т. е осуществляют трансграничную передачу ПДн передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 ФЗ-152).
Хранить ПДн организация может по-разному и в электронном виде (на сервере или в облачном хранилище), и в бумажном (хранить документы в картонных папках в архиве). Бесцельно хранить и обрабатывать ПДн нельзя. Как только достигнута цель обработки, персональные данные необходимо уничтожить либо обезличить. Так, например, нельзя хранить в личном деле сотрудника копии паспорта, ИНН, СНИЛС, дипломов, военного билета и т. п. (эти документы хранят в личных делах госслужащих). При проверке инспектор может посчитать это излишнем и выпишет штраф, т. к. цель обработки этих персональных данных (трудоустройство сотрудника) уже достигнута и хранить эти сведения больше нет необходимости.