Составление и оформление документов персональным данным. Весь список документов по хранению персональных данных. Хранение и использование персональных данных работника

К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.

Что относится к персональным данным работника

Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.

Самые лучшие работники - предприимчивые сотрудники. Их переполняют новые идеи, они готовы много работать и брать на себя ответственность. Но они же и самые опасные - рано или поздно решают работать на себя. В лучшем случае просто уйдут и создадут свое дело, в худшем - прихватят вашу информацию, пул клиентов и станут конкурентами.

Если Вы уже являетесь подписчиком журнала «Генеральный Директор», читайте статью

Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:

• фамилия, имя и, если есть, отчество;
• год, месяц, дата и место рождения;
• адрес регистрации;
• семейное, социальное и имущественное положение;
• образование и специальность;
• доходы и иные сведения.

Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.

Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.

Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.

Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников.

Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и . В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.

Какие персональные данные работника нужны кадровой службе

Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.

При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.

1. Документы, предъявляемые при заключении трудового договора:

• паспорт или любой другой документ, который подтверждает личность сотрудника;
• трудовая книжка;
• СНИЛС;
• военный билет;
• диплом об образовании, свидетельства о прохождении курсов повышения квалификации, документы, подтверждающие наличие специальных знаний;
• другие документы, наличие которых предусматривается на законодательном уровне.

Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.

2. Документы, создаваемые работодателем

Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».

К подзаконным актам относят распоряжения о:

• приеме сотрудника на определенную должность в компанию;
• переводе работника на другую должность, в другое подразделение компании;
• расторжении трудового договора с сотрудником;
• премировании работника.

Также к ним относятся:

• личная карточка сотрудника;
• документация по выплатам сотрудникам заработной платы.

Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.

Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.

Как должна проходить обработка персональных данных работника

Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.

При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока. Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя. В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.

Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно, для выполнения действующего на сегодняшний день законодательства, помощи сотрудникам в устройстве на работу, обеспечения личной безопасности сотрудников, контроля уровня качества осуществляемого рабочего процесса, гарантии сохранности имущества. Таким образом, в каких-либо иных целях использование персональных данных работника запрещено. Независимо от целей проведения такой процедуры субъект, личные данные которого подвергаются анализу и проверяются, должен дать своё согласие на обработку.
2. Сущность такой обработки регулируется нормативно-правовыми актами, при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. Следовательно, информация, которая не дает никакой характеристики человеку как специалисту, не может быть запрошена у него или разглашена третьей стороне и т.д.
3. Значимое условие, которое на практике часто игнорируется, зафиксировано в пункте 3 статьи 86 Трудового кодекса Российской Федерации: все персональные данные работника должны быть получены от него самого. В ситуации, когда указанную информацию можно получить только у третьего лица, сотрудника необходимо поставить об этом в известность заблаговременно. Но одного предупреждения будет недостаточно, требуется также взять с него согласие в письменной форме. При разговоре с работником нужно рассказать ему о целях, предполагаемых источниках и методах получения его персональных данных, о характере этой информации и о последствиях. Если при работе с персональными данными согласие сотрудника в письменной форме отсутствует, такая обработка становится незаконной.
4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Следует помнить о том, что если запрет на использование и сбор персональных данных работника о его политических и религиозных мнениях является безусловным, то Трудовой кодекс Российской Федерации допускает получение информации о личной жизни, но только в тех ситуациях, которые имеют связь с рабочим процессом, и исключительно с согласия самого работника, данного в письменной форме. В таком случае работодатель сможет оперировать вышеуказанными данными сотрудника, которые могут быть полезны при разработке систем мотивации, элементов корпоративной культуры и в прочих случаях.
5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности. Как бы ни хотелось многим работодателям собирать и использовать такую информацию, законом это запрещено.
6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, собранных исключительно путем их автоматизированной обработки или электронного сбора. Указанный запрет имеет связь с тем, что собранные персональные данные работника могут быть применены не в том контексте. В каждом случае следует руководствоваться сведениями, которые были получены при помощи использования комплексного способа сбора информации. В любом случае, какой бы продвинутой ни была система, она не может учесть человеческий фактор. Поэтому нужно анализировать все предварительные данные, полученные автоматизированным способом.
7. Защита персональных данных от их неправомерного использования или утраты обеспечивается работодателем за счет его средств и в порядке, зафиксированном в Трудовом кодексе Российской Федерации и в прочих федеральных законах.
8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных, а также о своих правах и обязанностях в этой сфере. Это могут быть положение, инструкция и др. Если при трудоустройстве вновь принятого на работу сотрудника не ознакомили с этими документами, это означает, что работодатель нарушает действующие нормативно-правовые акты.
9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет прописано условие о том, что сотрудник отказывается от данного права, то в этой части документ не может считаться действительным. Он не имеет юридической силы, так как противоречит законодательству РФ.
10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных документов о персональных данных работников. В результате такой совместной работы повышается качество внутренних актов.

Хранение и использование персональных данных работника

В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников. Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников. При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.

Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.

Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.

Правила формирования и хранения личного дела разрабатываются работодателем. К этому процессу необходимо подходить серьезно и ответственно. Временной период хранения документации, которая содержит персональные данные сотрудника, устанавливается в соответствии с Перечнем типовых управленческих документов, формирующихся в ходе трудовой деятельности компании (утв. Федеральной архивной службой России 06.10.2000 г., в ред. Решения от 27.11.2003 г.).

Например, личные дела директоров компании, руководителей различных структурных подразделений, сотрудников, которые обладают государственными и прочими званиями, наградами, ученой степенью, сохраняются постоянно. Личные дела иных сотрудников хранятся в течение 75 лет.

Основным документом о трудовой деятельности и трудовом стаже сотрудника, который содержит и персональные данные работника, является трудовая книжка. Порядок ее ведения строго регулируется и контролируется. Грамотность, четкость и ответственность в этом вопросе важны как для работодателя, так и для сотрудников компании.

Условия хранения трудовых книжек определяются Правилами ведения и хранения трудовых книжек, выпуска бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225. Сохранность документации является важнейшим фактором, когда речь идет о трудовом законодательстве РФ. В соответствии с пунктом 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на директора компании. Для этого распоряжением руководителя организации создается специальная должность.

Например, лицом, ответственным за хранение персональных данных и трудовых книжек, может быть сотрудник, управляющий отделом кадров. Действуют такие работники только в границах их должностных обязанностей. В реальности организовывать это хранение сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Постановлением Федеральной службы государственной статистики от 05.01.2004 г. № 1 утверждены единые формы первичной учетной документации по учету труда и его оплаты. Согласно нему работодатель гарантирует сохранность данной документации.

Согласно распоряжению Правительства Российской Федерации от 21.03.1994 г. № 358-р подразумевается, что для сохранения документации по личному составу увольняемых сотрудников в итоге изменения, реорганизации и ликвидации организации, а также социальной защищенности работников, исполняющих трудовые обязанности по договору найма, владельцам вновь появляющихся коммерческих / некоммерческих компаний рекомендовано внести в свою учредительную документацию порядок учета и сохранности персональных данных личного состава, а также своевременного отправления их на государственное хранение в той ситуации, если компания была реорганизована или ликвидирована.

Так как обязанность по сохранению конфиденциальности персональных данных работников Трудовой кодекс Российской Федерации возлагает на директора компании, то для реализации такой защиты нужно осуществить ряд действий по формированию необходимых технических условий (например, особый вход в те помещения, где находятся персональные данные работников, оборудование пространства для хранения этих сведений, меры, нацеленные на сохранение конфиденциальности персональных данных работников от незапланированного уничтожения, потери, корректировки или их распространения третьими лицами).

В каком случае возможна передача персональных данных работников

Одним из видов использования персональных данных работника является пересылка их как внутри компании, так и за ее границы. Требования к передаче персональных данных работника зафиксированы в статье 88 Трудового кодекса Российской Федерации.

При передаче персональных данных работника запрещается сообщать их без его согласия:

• для коммерческого применения;
• любому другому третьему лицу.

Персональные данные сотрудников собираются для внутреннего сведения и реализации нормальной трудовой деятельности компании, без согласия сотрудника не допускается их обнародование третьей стороне как в письменной форме, так и в устной.

Исключением из данного правила могут быть ситуации, когда это требуется для предупреждения угрозы жизни и здоровья сотрудника, а также в других ситуациях, которые зафиксированы в Трудовом кодексе. Например, согласно статье 228 Трудового кодекса Российской Федерации при несчастном случае на производстве директор компании в обязательном порядке должен сообщить о случившемся в ряд государственных органов.

Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены.

Руководитель имеет право требовать подтверждение того, что это условие соблюдается. Сотрудники, которым предоставлен свободный доступ к базе персональных данных иных работников, должны строго соблюдать конфиденциальность этих сведений. Это условие не имеет отношения к ситуациям передачи персональных данных в порядке, зафиксированном в ФЗ. Например, в соответствии со статьей 6 ФЗ от 12.08.1995 г. № 144 «Об оперативно-розыскной деятельности» при проведении данного вида мероприятия осуществляются следующие процедуры: опрос, запросы по данным участников, анализирование документации и личных вещей, снятие данных с технических каналов и т.д.

Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым сотрудники обязаны быть ознакомлены под роспись.

Нововведением Трудового кодекса Российской Федерации является то, что на сегодняшний день руководитель компании в обязательном порядке должен осуществлять передачу персональных данных работников в соответствии с локальной документацией и под роспись сотрудников.

Доступ к персональным данным работника разрешается только специально уполномоченным лицам. В данной ситуации специально уполномоченные сотрудники имеют право получать только те персональные данные, которые требуются им для исполнения конкретных должностных обязанностей. Таким образом, документация или сведения, которые содержат персональные данные, могут быть частично открыты для других работников (например, для управляющих отделов компании только в границах их должностных обязанностей). В реальности осуществить это сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать то, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Запрещается запрашивать информацию о состоянии здоровья работника, помимо тех данных, которые имеют отношение к процессу исполнения сотрудником его должностных обязанностей.

Запрос таких сведений имеет место быть в той ситуации, когда существует необходимость принять решение о переводе беременной сотрудницы на другую должность, которая исключит влияние неблагоприятных факторов согласно статье 254 Трудового кодекса Российской Федерации.

Передача персональных данных представителям работников допускается лишь в объеме, необходимом для выполнения ими указанных функций.

Таким образом, при расторжении трудового договора по решению руководителя компании на базе пунктов 2,3,5 части 1 статьи 81 Трудового кодекса Российской Федерации с сотрудником — членом профсоюзной организации руководитель компании отправляет профсоюзу копии тех документов, которые служат основанием для увольнения работника с занимаемой должности, и проект приказа согласно статье 373 Трудового кодекса Российской Федерации.

Защита персональных данных работника как обеспечение безопасности

Особенно остро вопрос защиты персональных данных работника встал в 2016 году в связи с объективными процессами в государственной системе. Сохранение конфиденциальности персональных данных сотрудника можно рассматривать в ряде аспектов.

Во-первых, это гарантии, закрепленные в трудовом праве, которое является суммой всех существующих правил, регулирующих отношения в вопросе персональных данных работника.

Во-вторых, это система мероприятий организационно-правового характера, ориентированных на осуществление положений законодательства и отображающих политику руководителя компании в данной отрасли.

В-третьих, это обеспечение субъективного права работника на сохранение конфиденциальности своих персональных данных.

Отношения информационного типа складываются как между сотрудником и предпринимателем, так и между каждым из них и третьей стороной. Отношения, образовавшиеся между руководителем компании и работником, являются главными информационными связями. Поэтому их урегулированию в трудовом законодательстве отдается преимущество. Сотрудник не только в обязательном порядке должен предоставить свои персональные данные, но и обладает правом узнать достоверные сведения об условиях труда и о требованиях охраны труда на рабочем месте согласно статье 21 Трудового кодекса Российской Федерации.

В статье 210 ТК РФ зафиксировано определение «единая информационная система охраны труда». Получение от руководителя компании данных по вопросам, напрямую затрагивающим интересы сотрудников, является одной из ключевых форм участия работников в руководстве компании согласно статье 53 Трудового кодекса РФ. Работодатель должен обнародовать полную и правдивую информацию для сотрудников, необходимую для формирования коллективного договора, соглашения и контроля над его реализацией, согласно статье 22 Трудового кодекса Российской Федерации.

Специальные правила российского кодифицированного закона о труде регулируют отношения по поводу сохранения конфиденциальности персональных данных работников.

Персональные данные человека согласно действующей нормативной документации относятся к данным конфиденциального характера. В связи с этим положения Трудового кодекса Российской Федерации об охраняемой на уровне закона тайне также имеют отношение к персональным данным работника.

Деятельность руководителя компании в отношении персональных данных сотрудников регулируется императивными нормами, что объясняется публичной составляющей сферы трудового права в общем и института сохранности персональных данных сотрудника в частности.

Право на сохранение конфиденциальности персональных данных имеет абсолютный характер. Им обладает каждый сотрудник компании независимо от того, какой вклад он внес в развитие организации. В соответствии с пунктом 9 статьи 86 Трудового кодекса РФ работник не обязан отказываться от своего права на неразглашение его персональных данных.

Свое право на сохранение конфиденциальности персональных данных сотрудник может осуществлять:

• при помощи свободного доступа к своим персональным данным, в том числе и право на получение копии всех записей, которые содержат личные данные;
• при помощи назначения представителей для сохранения конфиденциальности своих персональных данных;
• при помощи получения полных сведений о персональных данных и их использования;
• при помощи предъявления руководителю компании условий об удалении или корректировке ложных либо неполных персональных данных;
• при помощи обжалования в судебном порядке всех нарушающих закон действий или бездействия при использовании и защите персональных данных сотрудников в соответствии со статьей 89 Трудового кодекса Российской Федерации.

Как разработать Положение о персональных данных работников в организации

Исходя из статей 8 и 22 Трудового кодекса России предприниматель имеет право создавать в границах своей компетенции местную нормативную документацию, которая будет предусматривать процедуру сохранения и дальнейшего использования персональных данных работника.

Локальная документация компании о персональных данных сотрудника может быть сформирована в виде положения и должностной инструкции. Обычно ее созданием занимается отдел кадров. Конкретных требований к структуре и внутреннему содержанию данной документации действующие законы не содержат, но по всеобщей сути она обязана поддерживать порядок использования персональных данных сотрудников, а также определять права, обязанности сотрудника и директора компании, ответственность за несоблюдение принятых норм.

Примерная структура положения о персональных данных

Общие положения:

• цели и задачи компании в сфере сохранения конфиденциальности персональных данных сотрудников;
• определение и содержание персональных данных работников;
• документация, которая содержит персональные данные сотрудников;
• порядок получения персональных данных работника.

Порядок хранения, использования и передачи персональных данных:

• действия, осуществляемые для защиты от неправомерного получения доступа к персональным данным работников;
• место хранения, должностное лицо, назначенное ответственным за конфиденциальность персональных данных сотрудников;
• список должностных лиц, которые имеют свободный доступ к базе персональных данных работников (директор компании, руководитель кадровой службы, специалист отдела кадров и т.д.);
• общие условия для передачи персональных данных сотрудников;
• процедура передачи персональных данных сотрудников в рамках компании (в какой отдел могут быть отправлены данные сведения, порядок их хранения в этих отделах компании, список лиц, обладающих правом свободного доступа к прописанной информации в данных отделах).

Обязанности работодателя по хранению и защите персональных данных работников:

• предоставление защиты персональных данных работников;
• ознакомление сотрудников с локальной документацией, регламентирующей использование персональных данных;
• обеспечение доступа к этим данным и т.д.

Права работников на защиту персональных данных:

• на свободный доступ к личным персональным данным;
• на получение копий любого личного документа;
• на предоставление своих представителей для защиты личных персональных данных и т.д.

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Список должностных лиц, которые обладают свободным доступом к персональным данным работников компании, необходимо прописать в качестве дополнения к положению о персональных данных.

Разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, игнорирование которой может привести к наложению административной ответственности по статье 5.27 КоАП Российской Федерации в виде штрафных санкций:

• на должностных лиц — в объеме от 5 до 50 минимальных размеров месячной оплаты труда;
• на лиц, которые занимаются предпринимательской деятельностью без юридического образования, — в объеме от 5 до 50 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев;
• на юридических лиц — в объеме от 300 до 500 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев.

Инструкция о порядке обеспечения конфиденциальности

при обработке информации, содержащей персональные данные

Документы по защите персональных данных. Боремся с халявщиками

• Информационная безопасность

Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай - в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

Проблема №1. Введение клиента в заблуждение Вранье

На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных - 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц - 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно - неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Проблема № 2. Отсутствие индивидуализации

Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему - если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

Используется ли виртуализация?
- используются мобильные средства?
- резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
- и т.д. и т.п.

Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

Проблема № 3. Сомнительное качество самих документов

Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных - ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам - настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как - «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

Проблема № 4. Безопасность

К чему это все?

Работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда в некрупных организациях -- секретаря-референта (далее -- отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи, не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания и др.

Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют личность каждого человека. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных -- органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя или пользователя персональных данных, и устанавливается действующим законодательством, лицензией или договором. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя эти данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.

Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны -- служебной или профессиональной тайне. Профессиональная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и другие подвиды этой тайны.

Персональные данные накапливаются и используются, например, в налоговых инспекциях, правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Но наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу), образующей соответствующую информационно-документационную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами (далее предприятием). Эта система имеет не только текущее, оперативное назначение в осуществлении кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной России.

В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации:

• а) документация по организации работы отдела;
• б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.

Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства предприятия, регламентирующие структуру отдела и распределение сфер ответственности между его работниками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.). К этому относят также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность на различных предприятиях, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации на конкретном предприятии следующие полезные для себя сведения:

• - распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т.е. сведения о том, где искать требуемую информацию;
• - распределение функций внутри отдела кадров между структурными единицами отдела (группами, секторами) и между работниками, т.е. сведения о том, у кого искать требуемую информацию;
• - регламентацию рабочего процесса по оформлению документации, пропусков, удостоверений, т.е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;
• - регламентацию места хранения документов, дел, баз данных, т.е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;
• - регламентацию отчетной и справочной работы, т.е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналом.

Под злоумышленником понимается лицо или группа лиц, предполагающих совершить и умышленно совершающих противоправные действия с целью овладения информацией, составляющей тайну предприятия. К злоумышленникам относят: недобросовестных конкурентов и партнеров, лиц, действующих в их интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данного предприятия, сотрудничающего со злоумышленником, и иных лиц, пытающихся нанести ущерб предприятию или его персоналу.

Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонним лицом мы понимает не только злоумышленников или их сообщников, но и сотрудников предприятия, функциональные обязанности которых не связаны с работой отдела. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.

Вторая группа -- документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:

• - комплексы документов, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);
• - комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
• - подлинники и копии приказов по личному составу;
• - личные дела и трудовые книжки сотрудников;
• - дела, содержащие основания к приказам по личному составу;
• - дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;
• - справочно-информационный банк данных по персоналу -- учетно-справочный аппарат (картотеки, журналы, базы данных и др.);
• - подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;
• - копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

При работе с документами, делами и базами данных отдела кадров должны соблюдаться следующие основополагающие принципы защиты персональных данных:

• - личной ответственности работников за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также носителей этой информации;
• - разбиения (дробления) знания персональных данных между разными работниками отдела;
• - наличия четкой разрешительной системы доступа работников отдела к документам, делам и базам данных;
• - проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Как мы видим, главным моментом в защите персональных данных является четкая регламентация функций работников отдела кадров и в соответствии с этим регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Для реализации этого положения руководителем предприятия должен быть издан приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утверждена схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела. Целесообразно, в целях разграничения доступа и разбиения знания персональных данных между работниками, закрепить за разными работниками:

• а) документированное оформление трудовых правоотношений (прием, перевод, увольнение и др.),
• б) ведение личных дел и трудовых книжек,
• в) составление и хранение приказов по личному составу и контрактов,
• г) ведение справочно-информационного банка данных.

Распределение сфер деятельности может быть иным в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть осуществлено в обязательном порядке. Это позволит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность документации.

Начиная с 1 января 2010 года в полной мере вступают в силу положения закона «О персональных данных», предусматривающие достаточно жесткие, очень трудоемкие и затратные требования к операторам персональных данных. Весьма нелегко придется операторам: им потребуется по полной программе выполнять многочисленные требования ФСБ и ФСТЭК, которые те разработали. Практика исполнения данного закона уже выявила несколько проблем, которые потенциально затрагивают и службы управления документами.

В организации возникает новый, весьма объемный пласт документации, связанный с исполнением требований законодательства о создании большого числа внутренних нормативных документов, регламентирующих порядок работы с персональными данными. Кроме того, контролирующие инстанции уже сейчас требуют регулярного создания документов, подтверждающих постоянный характер этой работы. Фактически речь идет о создании в организации системы менеджмента персональных данных, Далее именуется как ПД аналогичной по своим принципам системе менеджмента качества.

Существующая судебная практика показала также, что в ряде случаев при небрежном отношении организации к юридическим тонкостям положений закона «О персональных данных» некоторые требования законодательства о ПД начинают противоречить общепринятой практике делопроизводства и архивного дела. Например, когда процесс обработки ПД считается завершенным, эти данные должны быть уничтожены в течение 3 дней, несмотря на установленные сроки хранения (анализ сведений, содержащихся в реестре операторов ПД, показывает, что многие организации указывают в качестве условия завершения обработки ПД прекращение оперативной работы с этими данными в деловых подразделениях, забывая при этом, что в большинстве случаев содержащие ПД документы необходимо достаточно долго хранить во исполнение других законодательно-нормативных требований).

Ситуация обострилась настолько, что нельзя исключить принятие уже в этом году Правительством и Думой пожарных мер в виде поправок в закон «О персональных данных», смягчающих требования и/или сдвигающих дату окончания переходного периода. 12 ноября 2009 года в Государственную Думу был внесен законопроект «О внесении изменений в федеральный закон «О персональных данных»», который представил глава думского комитета по финансовому рынку Владислав Резник. В Госдуму внесен законопроект, уточняющий порядок обработки персональных данных//Информационное агентство «РосБизнесКонсалтинг», 12 ноября 2009 г.

Законопроектом предлагается определить, что «обработка персональных данных может осуществляться оператором в следующих случаях:

• - установления или реализации договорных отношений, предполагающих обработку персональных данных;
• - выполнения требований законов, определяющих случаи обязательной обработки персональных данных;
• - удовлетворения собственных потребностей при условии, что при этом не нарушаются права субъекта персональных данных». Пояснительная записка к проекту федерального закона «О внесении изменений в федеральный закон «О персональных данных», законопроект № 282499-5.

На фоне кризиса в мировой экономике, да и в силу малого интереса россиян к вопросам законодательства принятие этого закона осталось практически незамеченным. Международный опыт показывает, что именно этот закон, особенно в сочетании с законодательством о защите персональных данных, способен доставить крупные неприятности государственным муниципальным органам.

Поскольку этот закон появился «сверху», пока ни одна из заинтересованных сторон большого внимания на него не обратила. Такая ситуация, скорее всего, продлится недолго. И, как показывает мировой опыт, государственные органы столкнутся с рядом сложных проблем. С точки зрения делопроизводства, в государственных органах возникнет еще один мощный документопоток, а в связи с неизбежными нарушениями требований законодательства будут и многочисленные судебные иски и разбирательства. Государственным органам с их постоянно недоукомплектованной, недооплачиваемой и перегруженной службой ДОУ придется очень нелегко. Закон, кроме того, меняет технологию работы с документами: например, впервые вводится трудоемкая практика цензурирования документов, имеющих грифы ограничения доступа.

В отличие от федеральных органов, региональные органы власти осенью 2009 года уделили этому законодательству больше внимания. В ряде регионов разрабатываются и принимаются собственные законодательные и нормативные акты, регламентирующие порядок доступа к информации региональных властей.

В середине 2009 года вступил в силу ряд законодательных актов. Это прежде всего новая статья 13.25 «Нарушение требований законодательства о хранении документов» Кодекса Российской Федерации об административных правонарушениях, ужесточающая требования к организации хранения документов коммерческих организациях. Теперь организация может быть оштрафована на 200-300 тысяч рублей, например, за отсутствие номенклатуры дел.

Требования новой статьи распространяются как на акционерные общества и участников рынка ценных бумаг, так и на общества с ограниченной ответственностью, государственные и муниципальные унитарные предприятия. Наказания для них установлены одинаковые. Разница заключается лишь в том, что с организациями, перечисленными в первой части статьи, будет разбираться Федеральная служба по финансовым рынкам, а с ООО и унитарными предприятиями - государственный орган, «уполномоченный в области управления архивным фондом», т.е. Росархив.

Кроме того, Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации» от 28.04.2009 № 733-ФЗ также ужесточил требования к обеспечению сохранности документов. Соответствующие нормы внесены в 3 российских Федеральных закона: «О банках и банковской деятельности», «О несостоятельности (банкротстве) кредитных организаций» и «О несостоятельности (банкротстве)». Эти изменения уже вступили в силу - в начале июня 2009 г. Цитата по: Дэвид Банисар Свобода информации в мире. 2006 год. Общий обзор законодательства по доступу к правительственной информации в мире. «Privacy International», 2006. С.35-36.

Впервые в нашем законодательстве фактически введена персональная ответственность высшего руководства организации за сохранность документов.

В свете новых требований еще острее становится вопрос о правильном установлении и отслеживании сроков хранения документов и об уничтожении документов с истекшими сроками хранения в строгом соответствии с законодательством. В этой связи повышенный интерес вызывает разработка и введение в действие новых перечней документов с указанием сроков хранения.

29 октября 2009 г. Федеральное архивное агентство разместило для публичного обсуждения и общественной экспертизы проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской Федерации, органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения». Проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения» http://www.rusarchives.ru/news/ptyad.pdf За этот поступок, способствующий большей открытости работы ведомства и повышению качества разрабатываемых нормативных документов, руководство Росархива заслуживает самых добрых слов, и хочется надеяться, что данная практика станет традиционной.

Перечисленные выше факторы будут оказывать давление на организации как государственного, так и частного сектора. В первую очередь это давление почувствуют на себе специалисты служб, обеспечивающие бумажный и электронный документооборот. Весьма вероятно, что объемы работы увеличатся, и в первую очередь это грозит сотрудникам государственных органов.

С другой стороны, появляются и новые возможности в случае, если сотрудники, традиционно работающие с бумажными документами, сумеют найти свою нишу в новых направлениях работы, в первую очередь связанных с внедрением информационно-телекоммуникационных технологий. Это даст им шанс на повышение социального статуса в организации и, соответственно, уровня заработной платы.

И если перспективы на 2010 год для государственных организаций и собственников коммерческих организаций выглядят не слишком радостно, то для специалистов ДОУ они могут быть источником определенного оптимизма. Во все более усложняющейся ситуации грамотно организовать работу с документами могут только квалифицированные специалисты, а тем руководителям, кто этого еще не понял, стоит зарезервировать несколько сотен тысяч рублей для оплаты штрафов за нарушение требований законодательства.

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

• Этой информации итак много в интернетах и она более-менее однозначная.
• Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
• Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
• В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
• IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

• перечень сведений конфиденциального характера;
• инструкция администратора информационной безопасности;
• приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
• перечень персональных данных, подлежащих защите;
• приказ об утверждении мест хранения персональных данных;
• инструкция пользователей информационной системы персональных данных;
• приказ о назначении комиссии по уничтожению персональных данных;
• порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
• план внутренних проверок режима защиты персональных данных;
• приказ о вводе в эксплуатацию информационной системы персональных данных;
• журнал учета носителей информации информационной системы персональных данных;
• журнал учета мероприятий по контролю обеспечения защиты персональных данных;
• журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
• правила обработки персональных данных без использования средств автоматизации;
• положение о разграничении прав доступа к обрабатываемым персональным данным;
• акт классификации информационной системы персональных данных;
• инструкция по проведения антивирусного контроля в информационной системе персональных данных;
• инструкция по организации парольной защиты;
• журнал периодического тестирования средств защиты информации;
• форма акта уничтожения документов, содержащих персональные данные;
• соглашение о неразглашении персональных данных;
• журнал учета средств защиты информации;
• журнал проведения инструктажа по информационной безопасности;
• инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
• приказ о перечне лиц, допущенных к обработке персональных данных;
• положение об обработке и защите персональных данных;
• план мероприятий по обеспечению безопасности персональных данных;
• модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

• Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
• Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
• Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
• Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
• Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
• В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.