5 что такое материальные носители персональных данных
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Единый официальный сайт государственных органов Ханты-Мансийский автономный округ – Югра
Губернатор Ханты-Мансийского автономного округа – Югры
Наталья Владимировна Комарова
Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
от 6 июля 2008 г. N 512
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ
ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. Постановления Правительства РФ от 27.12.2012 N 1404)
Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
2. Настоящее Постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.
от 6 июля 2008 г. N 512
К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ
ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. Постановления Правительства РФ от 27.12.2012 N 1404)
1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.
3. Настоящие требования не распространяются на отношения, возникающие при использовании:
б) бумажных носителей для записи и хранения биометрических персональных данных.
4. Материальный носитель должен обеспечивать:
а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.
5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
6. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.
а) осуществлять учет количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
а) доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
б) применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
(в ред. Постановления Правительства РФ от 27.12.2012 N 1404)
в) проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
10. В случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана усиленной квалифицированной электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.
(в ред. Постановления Правительства РФ от 27.12.2012 N 1404)
Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.
11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.
12. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.
Виды персональных данных
Процветание бизнеса тесно связано с тем, насколько серьезно организация подходит к обеспечению информационной безопасности. Особое значение имеет определение и нейтрализация угроз безопасности, касающихся несанкционированного доступа к личной информации клиентов и партнеров. Персональные данные — это виды сведений, которые дают возможность косвенно либо напрямую идентифицировать гражданина и в отдельных случаях получить о нем дополнительную информацию.
Осуществляя любой вид обработки ПДн, предприниматель, компания либо муниципальный/государственный орган обязаны придерживаться прописанных в ФЗ-152 требований, в частности, продумать систему защиты от НСД и последующего несанкционированного использования. В зависимости от того, какие виды ПДн вы обрабатываете, нужны будут определенные СЗИ, поэтому важно разобраться с актуальной классификацией. Обращаем внимание, что под персональными данными понимаются данные, касающиеся конкретного человека. То есть абстрактный адрес электронной почты либо мобильный номер к таковым не относятся, поскольку не представляется возможным определить, чьи они. Четко проследить разницу можно на примере опросов — если вы просите сообщить имя и фамилию либо семейное положение, то речь идет о ПДн, соответственно нужно просить согласие на обработку, а в случае анонимного анкетирования такой необходимости не возникает.
Категории и виды ПДн
В процессе установления уровня защищенности и организации мероприятий, направленных на нейтрализацию угроз безопасности, приоритетное значение имеет классификация ПДн, предусмотренная ФЗ-152 и Постановление Правительства № 1119. В них прописано четыре категории ПДн, которые обрабатываются в ИС:
Помимо того, можно выделить несколько разновидностей персональных данных в зависимости от целей и способа их обработки:
Какие можно выделить типы персональных данных?
Кроме описанных видов ПД, классифицировать личные сведения граждан можно на основании положений ТК, Конституции Российской Федерации и других ФЗ. Например, при организации трудовых процессов происходит обработка двух типов документов:
Есть еще несколько способов разделения персональных данных по разным критериям:
Зачем проводить классификацию ПДн?
Проанализировать виды персональной информации и понять, какие именно сведения вы используете в своей деятельности, очень важно. От этого зависит список законодательных требований к защите ИС, и, соответственно, затраты на внедрение средств профилактики и реагирования на УБ. Кроме того, это позволит избежать нарушений и штрафных санкций со стороны контролирующих органов, а также завоевать репутацию надежной компании, что положительно скажется на уровне дохода.
Минцифры России: рекомендации по работе с персональными данными
 |
| pressmaster / Depositphotos.com |
Минцифры России направило методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Рекомендации содержат тезисы, которые могут быть интересны и другим категориями операторов персональных данных, включая работодателей в целом (Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059).
Так, приведен список актов, которые работодателю рекомендуется издать по вопросам работы с персональными данными:
Приведен также перечень рекомендованных структурных компонентов политики организации в отношении обработки персональных данных и их примерное содержание.
Кроме того, чиновники рекомендовали указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных, а также в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Рекомендовано хранение персональных данных осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также указывать сроки хранения персональных данных и иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
По вопросу о возможности предоставления согласия на обработку персональных данных в электронной форме в ведомстве отмечают, что такое согласие может быть дано, если иное не установлено федеральным законом, в любой позволяющей подтвердить факт его получения форме, в том числе в письменной форме, с использованием электронной цифровой подписи, акцептирования публичной оферты, получения на мобильный телефон и (или) электронную почту уникальной последовательности символов и иными способами и формами. Вместе с тем, в случаях, когда Законом о персональных данных предусмотрена обработка персональных данных только с согласия в письменной форме субъекта персональных данных, то равнозначным признается только согласие в форме электронного документа, подписанного электронной подписью.
Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных. Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.
Согласие работника на обработку персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона о персональных данных.
Приведены примеры, когда согласие работника на обработку персональных данных не требуется. Так, обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет или при передаче персональных данных работника третьим лицам, предусмотрена законодательством РФ.
Примерами прямого указания в законодательстве РФ норм, связанных с обработкой персональных данных, могут стать следующие случаи:
Другим примером может служить обязанность в соответствии с п. 2 ст. 10 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» владельцев сайтов в сети «Интернет» разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, а также адресе электронной почты.
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
В соответствии с ч. 1 ст. 17 Федерального закона от 12 января 1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам. Согласно Определению Верховного Суда РФ от 20 июля 2012 г. № 56-КГ12-3 согласие работников на передачу их персональных данных профессиональному союзу не требуется, так как коллективный договор заключен от имени всех работников, а профсоюз, запрашивая персональные данные, контролирует соблюдение коллективного договора.
Не требуется согласие при обработке персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата РФ от 5 января 2004 г. № 1), либо в случаях, установленных законодательством (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
Согласно п. 1 ст. 20 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» граждане, претендующие на замещение должности гражданской службы и замещающие должность гражданской службы, включенную в перечень, установленный нормативными правовыми актами, обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов своей семьи.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
Не требуется согласие при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках трудового законодательства, в частности согласно ст. 228 ТК РФ о несчастном случае с работником работодатель обязан проинформировать соответствующие органы.
Передача персональных данных работника организации кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании в соответствии с Правилами оказания гостиничных услуг в РФ.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. С учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т. д.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу. Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством РФ, в частности законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 ТК РФ работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами РФ, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами РФ.
Чиновники напомнили, что ст 16 Закона о персональных данных установлены права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных, в частности запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев: при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. В частности, примерами могут стать следующие ситуации:
Это подтверждается также ст. 86 ТК РФ, согласно которой при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
В рекомендациях отмечается, что оператор персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Если предоставление персональных данных является обязательным, то оператор должен разъяснить последствия непредоставления таких данных, например, отказ в предоставлении персональных данных работодателю при заключении трудового договора повлечет невозможность заключения такого договора.