БПОУ ОО
«Болховский педагогический колледж»
Сообщение на тему:
«Понятие персональных данных. Защита персональных данных»
Подготовил
студент 4 курса группы «Г»
Петров
Руслан Годжа оглы
Преподаватель
Лукошкина
Е.О.
Болхов,
2016
1. Понятие персональных данных
Персональные данные объективно присущи любому человеку, они
подчеркивают правовой статус человека и гражданина. Персональные данные
содержат необходимый объем информации о человеке, который участвует в
соответствующих правоотношениях. Персональные данные принадлежат
непосредственно человеку, и он в их несанкционированном распространении, как
правило, не заинтересован, в этой связи неслучайно, что персональные данные
охраняются различными правовыми средствами. Исходя из этого вполне логично, что
доступ к персональным данным имеет весьма ограниченный круг лиц, работодатель,
сотрудники кадровых служб и др. В этой связи значение персональных данных
трудно переоценить. В настоящее время правовое регулирование персональных
данных привлекает внимание ученых и специалистов-практиков.
В соответствии со ст. 3 Федерального закона от 27.07.2006 N
152-ФЗ "О персональных данных" (далее - Закон о персональных данных)
персональными данными является любая информация, относящаяся к определенному
или определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата
и место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы и т.д. Согласно ст. 85 ТК РФ под персональными
данными работника понимается информация, необходимая работодателю в связи с
трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ
не уточняется, какая именно информация о работнике требуется работодателю.
Исходя из этого можно сделать вывод, что работодатель имеет право затребовать
от работника только ту информацию, которая характеризует последнего именно как
сторону трудового договора, а не как личность. Следовательно, работодатель не
может требовать от работника предоставления персональных сведений, которые не
связаны с осуществлением его трудовой деятельности в конкретной организации.
Однако, исходя из определения персональных данных, которое
приведено в Законе о персональных данных, можно сделать вывод, что персональные
данные - это любая информация, которая позволяет идентифицировать конкретного
человека.
Таким
образом, для определения состава персональных данных, необходимых работодателю
в рамках трудовых отношений, рекомендуется руководствоваться формулировкой,
приведенной в Трудовом кодексе РФ.
Персональные
данные могут содержать следующую информацию:
- фамилия, имя,
отчество;
- пол, возраст;
-
физиологические особенности человека;
-образование,
квалификация, профессиональная подготовка и сведения о повышении квалификации;
-
состояние здоровья и сексуальная ориентация;
-
принадлежность лица к конкретной нации, этнической группе, расе;
-
место жительства;
-
привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
-
семейное положение, наличие детей, родственные связи;
-
факты биографии и предыдущая трудовая деятельность (место работы, размер
заработка, судимость, служба в армии, работа на выборных должностях, на
государственной службе и др.);
-
религиозные и политические убеждения (принадлежность к религиозной конфессии,
членство в политической партии, участие в общественных объединениях, в т.ч. в
профсоюзе, и др.);
-
финансовое положение (доходы, долги, владение недвижимым имуществом, денежные
вклады и др.);
-
деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения,
которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и
использовать только те сведения, которые характеризуют гражданина как сторону
трудового договора. Подробнее об этом см. п. 2 настоящего материала.
Вопрос: Относится ли фотография работника к персональным данным?
В действующем законодательстве прямо не установлено, что
фотография относится к персональным данным. Однако работодатель не может использовать
фотографию работника без его согласия.
Исходя
из определения персональных данных, которое дано в Законе о персональных
данных, нельзя однозначно сказать, является ли фотография сама по себе
персональными данными. В этом Законе фотография прямо не указана как объект, на
основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о
персональных данных). Как следует из смысла Закона, под персональными данными
понимается информация, содержащая сведения о фамилии, имени, отчестве, годе, месяце,
дате и месте рождения, адресе, семейном, социальном, имущественном положении,
образовании, профессии, доходах и т.д. Следовательно, если фотография не
предполагает отображения таких сведений, то отнести ее к персональным данным,
вероятнее всего, нельзя.
Тем
не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование
изображения гражданина допускаются только с его согласия. Соответственно,
использование фотографии человека (в т.ч. работника) без его согласия не
допускается.
2. Защита персональных
данных.
Конфиденциальность персональных данных —
обязательное для соблюдения оператором или иным получившим доступ к
персональным данным лицом требование не допускать их распространение без
согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152).
Оператор — государственный орган, муниципальный
орган, юридическое или физическое лицо, организующие и(или) осуществляющие
обработку персональных данных, а также определяющие цели и содержание обработки
персональных данных (ФЗ-152).
Информационная система персональных данных
(ИСПДн) — информационная система, представляющая собой совокупность
персональных данных, содержащихся в базе данных, а также информационных
технологий и технических средств, позволяющих осуществлять обработку таких
персональных данных с использованием средств автоматизации или без
использования таких средств (ФЗ-152).
Обработка персональных данных — это действия
(операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение персональных данных (ФЗ-152).
Оператор при обработке ПДн должен принимать все
необходимые организационные и технические меры для защиты персональных данных
от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, распространения персональных данных, а также от иных
неправомерных действий.
Что же необходимо сделать, чтобы защитить
персональные данные?
Прежде всего, необходимо определить, какие
информационные системы ПДн есть и какого типа ПДн в них обрабатываются.
Классификация
информационной системы персональных данных
Для того чтобы понять, насколько проблема защиты
ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн,
оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом
ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008
г.
Итак, оператор формирует комиссию (приказом руководителя
организации), которая после анализа исходных данных принимает решение о
присвоении ИСПДн соответствующего класса. В ходе классификации определяются:
l категория обрабатываемых персональных
данных;
l объем обрабатываемых персональных данных;
l тип информационной системы;
l структура информационной системы и
местоположение ее технических средств;
l режимы обработки персональных данных;
l режимы разграничения прав доступа
пользователей;
l наличие подключений к
сетям общего пользования и (или) сетям международного информационного обмена.
Согласно приказу № 55/86/20, все
информационные системы (ИС) делятся на типовые и специальные.
Типовые информационные системы — информационные
системы, в которых требуется обеспечение только конфиденциальности персональных
данных.
Специальные информационные системы —
информационные системы, в которых вне зависимости от необходимости обеспечения
конфиденциальности персональных данных требуется обеспечить хотя бы одну из
характеристик безопасности персональных данных, отличную от конфиденциальности
(защищенность от уничтожения, изменения, блокирования, а также иных
несанкционированных действий).
На практике выходит, что типовых ИС практически
нет, поскольку в большинстве случаев помимо конфиденциальности необходимо
обеспечить также целостность и доступность информации. Кроме того, в
обязательном порядке к специальным системам должны быть отнесены:
l информационные системы, в которых
обрабатываются персональные данные, касающиеся состояния здоровья субъектов
персональных данных;
l информационные системы, в
которых предусмотрено принятие на основании исключительно автоматизированной
обработки персональных данных решений, порождающих юридические последствия в
отношении субъекта персональных данных или иным образом затрагивающих его права
и законные интересы.
Итак, по результатам анализа исходных данных
комиссия присваивает системе персональных данных соответствующий класс:
класс 1 (К1) -
информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) -
информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
негативным последствиям для субъектов персональных данных;
класс 3 (К3) -
информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, может привести к
незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) -
информационные системы, для которых нарушение заданной характеристики
безопасности персональных данных, обрабатываемых в них, не приводит к
негативным последствиям для субъектов персональных данных.
Результаты классификации оформляются Актом
классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная),
присвоенный ИСПДн класс и условия, на основании которых было принято решение.
Как уже было сказано, классификация необходима
для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн,
поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои
требования по защите ИСПДн, о которых поговорим чуть позже.
Согласие субъекта ПДн
на обработку
Далее необходимо перейти к обработке этих данных,
но перед тем, как их обработка будет законной, необходимо получить согласие
субъекта персональных данных на обработку (закон тем самым предотвращает
незаконный сбор и использование персональных данных):
Статья 6 ФЗ-152:
Обработка персональных данных может
осуществляться оператором с согласия субъектов ПДн, за исключением случаев:
1) обработка персональных данных осуществляется
на основании федерального закона, устанавливающего ее цель, условия получения
персональных данных и круг субъектов, персональные данные которых подлежат
обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в
целях исполнения договора, одной из сторон которого является субъект персональных
данных;
3) обработка персональных данных осуществляется
для статистических или иных научных целей при условии обязательного
обезличивания персональных данных;
4) обработка персональных данных необходима для
защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для
доставки почтовых отправлений организациями почтовой связи, для осуществления
операторами электросвязи расчетов с пользователями услуг связи за оказанные
услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в
целях профессиональной деятельности журналиста либо в целях научной, литературной
или иной творческой деятельности при условии, что при этом не нарушаются права
и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных,
подлежащих опубликованию в соответствии с федеральными законами, в том числе
персональных данных лиц, замещающих государственные должности, должности
государственной гражданской службы, персональных данных кандидатов на выборные
государственные или муниципальные должности.
Итак, если наш случай обработки ПДн предусмотрен
частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.
Также необходимо руководствоваться Трудовым
Кодексом, Глава 14. Например, работодатель вправе получать и обрабатывать
данные о частной жизни работника только с его письменного согласия (Статья
86 часть 4 ТК).
В соответствии со статьей 9 ФЗ-152
получать согласие субъекта персональных данных на обработку его персональных
данных необходимо в письменной форме. Письменное согласие субъекта персональных
данных должно включать:
– фамилию, имя, отчество,
адрес субъекта персональных данных, номер основного документа, удостоверяющего
его личность, сведения о дате выдачи указанного документа и выдавшем его
органе;
– наименование (фамилию,
имя, отчество) и адрес оператора, получающего согласие субъекта персональных
данных;
– цель обработки
персональных данных;
– перечень персональных
данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с
персональными данными, на совершение которых дается согласие, общее описание
используемых оператором способов обработки персональных данных;
– срок, в течение
которого действует согласие, а также порядок его отзыва.
Положение,
регламентирующее порядок обработки и защиты ПДн
Итак, оператор получил (если это необходимо)
согласие на обработку персональных данных — персональные данные можно
обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо
разработать (если есть, доработать в соответствии с ФЗ) положение,
регламентирующее порядок хранения, обработки и защиты персональных данных.
Давайте условно назовем его Положение по обеспечению безопасности персональных
данных. Положение по обеспечению безопасности персональных данных — это
внутренний (локальный) документ организации. Строгой формы данного документа
нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а,
следовательно, в нем должно быть указано:
– цель и задачи в области
защиты персональных данных;
– понятие и состав
персональных данных;
– в каких структурных
подразделениях и на каких носителях (бумажных, электронных) накапливаются и
хранятся эти данные;
– как происходит сбор и
хранение персональных данных;
– как они обрабатываются
и используются;
– кто (по должностям) в
пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в
том числе от несанкционированного доступа;
– права работника в целях
обеспечения защиты своих персональных данных;
– ответственность за
разглашение конфиденциальной информации, связанной с персональными данными
работников.
Положение по обеспечению безопасности
персональных данных утверждается руководителем организации или уполномоченным
им лицом, вводится в действие приказом руководителя. Работодатель обязан
ознакомить работника с Положением под подпись.
Список лиц, допущенных
к обработке ПДн
Кроме того, необходимо оформить список лиц,
допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к
ПДн необходим для выполнения служебных обязанностей. В первую очередь это
сотрудники кадровой службы, поскольку они собирают и формируют данные о
работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям
могут получить руководители структурных подразделений (например, начальники
отделов) — и это также необходимо отразить в списке. Однако все они вправе
запрашивать не любые данные, а только те, которые необходимы для выполнения
конкретных трудовых функций (например, чтобы рассчитать льготы по налогам,
бухгалтерия получит не все сведения о работнике, а только данные о количестве
его иждивенцев). Поэтому целесообразно прописать перечень информационных
ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно
оформить в виде приложения к Положению по обеспечению безопасности персональных
данных или отдельным документом, утвержденным руководителем.
Уведомление
Роскомнадзора
Далее в соответствии со статьей 22 ФЗ-152
оператор до начала обработки персональных данных обязан уведомить
уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это —
Федеральная служба по надзору в сфере связи, информационных технологий и
массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку
ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152:
Оператор вправе осуществлять без уведомления
уполномоченного органа по защите прав субъектов персональных данных обработку
персональных данных:
1) относящихся к субъектам персональных данных,
которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением
договора, стороной которого является субъект персональных данных, если персональные
данные не распространяются, а также не предоставляются третьим лицам без
согласия субъекта персональных данных и используются оператором исключительно
для исполнения указанного договора и заключения договоров с субъектом
персональных данных;
3) относящихся к членам (участникам)
общественного объединения или религиозной организации и обрабатываемых
соответствующими общественным объединением или религиозной организацией,
действующими в соответствии с законодательством Российской Федерации, для достижения
законных целей, предусмотренных их учредительными документами, при условии, что
персональные данные не будут распространяться без согласия в письменной форме
субъектов персональных данных;
4) являющихся общедоступными персональными
данными;
5) включающих в себя только фамилии, имена и
отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска
субъекта персональных данных на территорию, на которой находится оператор, или
в иных аналогичных целях;
7) включенных в информационные системы
персональных данных, имеющие в соответствии с федеральными законами статус
федеральных автоматизированных информационных систем, а также в государственные
информационные системы персональных данных, созданные в целях защиты
безопасности государства и общественного порядка;
8) обрабатываемых без использования средств
автоматизации в соответствии с федеральными законами или иными нормативными
правовыми актами Российской Федерации, устанавливающими требования к
обеспечению безопасности персональных данных при их обработке и к соблюдению
прав субъектов персональных данных
Требования к уведомлению указаны в части 3
статьи 22 ФЗ-152. Форму уведомления об обработке (о намерении осуществлять
обработку) персональных данных можно заполнить в электронном виде на сайте
Роскомнадзора: http://rsoc.ru/personal-data/p181/
Теперь можно приступать к обработке персональных
данных, параллельно решая самый сложный и проблемный вопрос — обеспечение
безопасности персональных данных при их обработке.
Обеспечение безопасности персональных данных при их обработке
Мероприятия по защите информации трудоемки и
могут привести к значительным финансовым затратам, что обусловлено
необходимостью:
– получать (по
необходимости) лицензию на деятельность по технической защите конфиденциальной
информации ФСТЭК России;
– привлекать лицензиата
ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн
и/или ее аттестации по требованиям безопасности информации;
– отправлять сотрудников,
ответственных за обеспечение безопасности информации, на курсы повышения
квалификации по вопросам защиты информации и/или нанимать специалистов по
защите информации;
– устанавливать
сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ),
сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в
зависимости от класса ИСПДн.
Что-то можно сделать самим, а где-то лучше
довериться специалистам. Но защитить персональные данные необходимо, так или
иначе.
Статья 19, ФЗ-152:
Оператор при обработке персональных данных обязан
принимать необходимые организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения персональных
данных, а также от иных неправомерных действий.
Помимо ФЗ-152 требования и рекомендации по
обеспечению защиты персональных данных устанавливают:
l «Положение об обеспечении безопасности
персональных данных при их обработке в информационных системах персональных
данных», утверждено постановлением Правительства РФ № 781 от 17 ноябрям2007 г.
l «Положение об особенностях обработки
персональных данных, осуществляемой без использования средств автоматизации»,
утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
l «Требования к материальным носителям
биометрических персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных», утверждены постановлением
Правительства РФ № 512 от 6 июля 2008 г.
l Специальные требования и рекомендации по
технической защите конфиденциальной информации (СТР-К), утверждены приказом
Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
l Базовая модель угроз безопасности
персональных данных при их обработке в информационных системах персональных
данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации
по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо
применять полную версию данного документа - ДСП)
l Методика определения
актуальных угроз безопасности персональных данных при их обработке в
информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для
служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
l Рекомендации по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята
Решением ФСТЭК от 11 ноября 2009 г.)
l Основные мероприятия по
организации и техническому обеспечению безопасности персональных данных,
обрабатываемых в информационных системах персональных данных от 15 февраля 2008
г. (Пометка «для служебного
пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
l Методические рекомендации по обеспечению с
помощью криптосредств безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств
автоматизации. ФСБ, 21 февраля 2008 г.
l Типовые требования по
организации и обеспечению функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну в случае их использования для обеспечения
безопасности персональных данных при их обработке в информационных системах
персональных данных. ФСБ, 21 февраля 2008 г.
Мы не будем подробно рассматривать все
требования, которые необходимо выполнить для обеспечения безопасности ПДн при
их обработке в ИСПДн, — их много, и они сильно зависят от конкретной ИСПДн.
Остановимся на основных моментах, часто вызывающих затруднения у операторов.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.