Мудрый Экономист

Неавтоматизированная обработка персональных данных

"Бухгалтерия и банки", 2010, N 9

Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных <1> Российская Федерация подписала в Страсбурге 7 ноября 2001 г. и ратифицировала 19 декабря 2005 г. <2>.

<1> Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.
<2> Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

Примечание. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Но, несмотря на то что основной целью Конвенции является "обеспечение права на неприкосновенность личной сферы в связи с автоматизированной обработкой персональных данных" <3>, Российская Федерация заявила, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если ее применение соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации <4>.

<3> Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981.
<4> Федеральный закон от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации <5> (далее - Положение).

<5> Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Примечание. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Согласно Положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Примечание. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.

Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.

Типовые формы также должны:

При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Уточнение персональных должно осуществляться путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.

При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.

Чтобы выполнить требования Положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.

Примечание. В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур - потеря доверия клиентов и падение конкурентоспособности.

Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.

В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.

В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.

Лучше установить строго определенный перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.

Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учетом требований Положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.

В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.

Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объемного пакета документов, который должен содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.

Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространенных замечаний Роскомнадзора по результатам проверок операторов - это несоответствие типовых форм документов законодательству).

Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется Положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учета, контроля доступа к ним и т.д.

Примечание. Законодательством РФ предусмотрены следующие санкции:

При реализации требований Федерального закона "О персональных данных" <6> необходимо помнить, что обработка персональных данных включает два аспекта: формирование информационной системы персональных данных и последующую обработку с использованием средств автоматизации или без использования таких средств.

<6> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

При необходимости обработки персональных данных оператор должен выполнять определенную последовательность действий, в том числе уведомить по предусмотренной форме уполномоченный орган по защите прав субъектов персональных данных - Роскомнадзор - о намерении осуществлять обработку данных, удостовериться, что персональные данные получены с соблюдением требований законодательства и соответствуют заявленным целям обработки, т.е. данные получены либо из открытого источника, либо во исполнение федерального закона, либо с соответствующим согласием субъекта и т.д.

При этом не стоит забывать, что персональные данные относятся к категории конфиденциальной информации <7> и могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.д.). В режиме личной тайны - сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны - сведения о взаимоотношениях членов семьи, в том числе родственных.

<7> ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".

На этапе выбора конкретных мер по обеспечению безопасности персональных данных в зависимости от способа их обработки необходимо руководствоваться соответствующими нормативно-правовыми актами.

При этом следует обратить внимание на нечеткость в терминологии:

<8> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
<9> Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера".

Возможно, чтобы понять разницу между автоматизированной и неавтоматизированной обработкой, необходимо обратиться к цели защиты персональных данных и причинам разделения этих понятий, которые заключаются в различии технологий, а соответственно, и в способах получения несанкционированного доступа к персональным данным в зависимости от способа их обработки. А ведь именно защита прав и свобод человека и гражданина при обработке его персональных данных является целью Федерального закона "О персональных данных".

В любом случае защиту персональных данных необходимо обеспечивать вне зависимости от способов обработки. Для того чтобы избежать негативных последствий, в том числе гражданской, уголовной и административной ответственности за нарушение требований по обработке персональных данных, сделать это нужно до 1 января 2011 г. <10>.

<10> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

Е.Заяц

Консультант

по информационной безопасности

ЗАО "ДиалогНаука"