История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2006 году Государственной думой РФ был принят базовый закон — Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.
Разобраться в том, что такое персональные данные, какие они бывают и как используются на предприятиях, чрезвычайно важно как для субъектов, сведения о которых собираются и обрабатываются, так и для организаций, которые выполняют эти операции. Первым это необходимо, чтобы ответственно давать согласие на хранение и передачу ПДн, а также защищать свои интересы в случае несанкционированного использования и разглашения. Предприятиям понимание того, какая информация относится к персональным данным, необходимо для правильной организации их обработки, построения системы сбора и хранения ПДн и подбора эффективных мер по обеспечению их безопасности.
Что такое личные данные, и кто вправе ими распоряжаться?
Понятие максимально подробно раскрыто в Федеральном Законе №
В ФЗ-152 четко прописано, кто и на каких условиях имеет право получать персональную информацию помимо её владельца. Выполнять операции с частными данными по разрешению субъекта может работодатель, финансово-кредитная организация, интернет-магазин, медицинский центр и т.д. Но есть важный момент — после достижения результата, ради которого осуществлялся сбор ПДн, оператор теряет легальную возможность их использования и несёт ответственность при их намеренном разглашении. Специальные требования в отношении работы с ПДн действуют, если:
- информация составляет государственную тайну;
- происходит урегулирование личных и семейных вопросов, при этом права других лиц не ущемляются;
- речь идет об архивных сведениях;
- есть судебный акт об их предоставлении.
Закон не только устанавливает, что относится к личным данным, но и обязывает операторов ПДн выполнять ряд требований по обеспечению их безопасности, а в случае выявления нарушений предусматривает штрафы и другие санкции. Принимать технические и организационные меры защиты необходимо как юридическим, так и частным лицам, если они имеют дело с конфиденциальной информацией о сотрудниках, клиентах, деловых партнерах и т.д.
Какие данные относятся к персональным данным: основные виды ПДн
Для упрощения регулирования законодательство РФ дифференцирует ПДн в зависимости от сложности получения, степени секретности и прав на использование третьими лицами. Основные разновидности:
- Общие персональные данные — те, которые сообщают ключевую информацию о субъекте: Ф.И.О., дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.
- Биометрические — позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Что входит в перечень таких персональных данных? Отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности. Наиболее востребованы подобные ПДн на таможне и в государственных органах, которые осуществляют выдачу виз и загранпаспортов, а также в современных системах идентификации.
- Общедоступные персонифицированные данные — чаще всего, это информация о благосостоянии известных людей (представителей власти и шоу-бизнеса, руководителей крупных предприятий и т.д.). Они присутствуют в открытых источниках и могут быть получены без дополнительных разрешений.
- Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
- Специальные — ПДн, присутствующие в личных делах, медицинских книжках, закрытых реестрах и т.д. Речь идет о философских и политических убеждениях, сексуальных предпочтениях, хронических заболеваниях, расовой и национальной принадлежности, вероисповедании. Чтобы с ними работать, нужно предварительно обеспечить санкционированный доступ, а именно — получить официальное согласие владельца в письменном виде.
Большое значение имеет правильная классификация оператором вида ПДн и принятие соответствующих мер для того, чтобы законно их собирать, хранить и передавать третьим лицам.
Использование личной информации в компании
Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.
Сбор сведений производится для выполнения следующих задач:
- профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
- приема на работу и документального закрепления этого события;
- получения оснований для установления той или иной заработной платы;
- проверки выполнения персоналом возложенных на них обязанностей;
- выявления и подтверждения причин для перевода сотрудника на более высокую должность.
При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.