О необходимости защиты персональных данных ведутся дискуссии на протяжении многих лет, но не все знают, что относится к персональным данным физического лица по закону. К персональным данным относится любая информация (паспортные данные, дата рождения, информация о месте работы и семейном положении, образование, социальное, имущественное положение, профессия, доходы, биометрические данные, другая информация). Сегодня достаточно часто распространена ситуация, когда персональные данные предаются огласке работодателем в процессе его деятельности. Несмотря на то, что юридически это не является нарушением, многие люди предпочли бы скрыть свои личные данные, такую защиту работодатель должен предоставлять по закону.

Лицензия на обработку персональных данных

Оператором персональных данных является любое юридическое лицо, деятельность которого связана с обработкой данных сотрудников и клиентов. Форма собственности и размеры организации значения не имеют, на практике в данную категорию относится любое предприятие, использующее наемный труд. Процесс трудоустройства предполагает заполнение анкет с указанием личных данных, все документы при этом копируются, полученная информация заносится в базы данных, бухгалтерские программы. В целях обеспечения безопасности передачи и хранения информации любая компания несет обязательство о неразглашении персональных данных работников. Предприятия, чья деятельность связана с хранением и сбором таких сведений, должны получать лицензию.
Для получения такой лицензия должно быть проведено обучение персонала, обязательно приобретение технических средств защиты.
Этапы процедуры:

• уведомление соответствующих органов о планах обработки информации при помощи средств автоматизации (ПК);
• прохождение предварительного обследования имеющихся в наличии информационных систем;
• проектирование систем защиты с учетом инфраструктуры средств автоматизации;
• покупка и внедрение средств защиты;
• приведение помещения в соответствие с необходимыми требованиям (по электропитанию, охране, пожарной безопасности);
• проведение переквалификации и переаттестация сотрудников.

Все эти меры обеспечивают гарантию защиты информации при хранении и передаче посредством коммуникационных линий. Вышеописанные действия применимы только к обработке данных в электронном виде, что не обеспечивает полную безопасность хранящихся или передаваемых данных. Часто возникает вопрос,собирает ли программное обеспечение персональные данные пользователя. Все зависит от конкретного ПО, обычный пользователь установить факт кражи его личных данных программами не может.

Что такое ЦОД при обработке персональных данных

Центр обработки данных представляет собой сложную систему, включающую в себя комплекс IT решений, инженерных конструкций и высокотехнологичного оборудования. ЦОД предназначен для быстрой обработки разных объемов информации, хранении и выдаче данных пользователю. Ядром такого центра являются мощные серверные станции, оснащенные необходимым ПО, системами безопасности и охлаждения.
Разновидности ЦОД:

1. Коммерческие — отличаются высокой производительностью и скоростью обмена данных, назначение таких систем заключается в последующей аренде вычислительных мощностей Пользователь получает виртуальный ЦОД, фактическое местонахождение которого не имеет значения, это может быть любой населенный пункт или страна. В данном случае предоставляется возможность самостоятельно настраивать конфигурацию системы в соответствии с установленными параметрами. Управление осуществляется в дистанционном режиме, отсутствует необходимость в затратах на строительство и обслуживание частного центра.
2. Внутренние (корпоративные) — создаются специально для нужд конкретного предприятия, основное преимущество заключается в возможности прямого управления системой. Компания не зависит от владельца техники (поставщика услуг) и имеет возможность обеспечивать безопасность информации и коммерческой тайны. Все неисправности системы устраняются гораздо быстрее, на предприятии с с собственным ЦОДом существует возможность обеспечения автономной работы техники на случай с перебоями электроснабжения.
3. Мобильные ЦОДы предназначены для небольших предприятий, их монтаж не требует проектировки помещений для стационарного дата-центра, важную роль в данном случае играют температура, специфика техники и другие факторы.

Как заполнять согласие на обработку персональных данных

Согласие на обработку личных данных требуется при подаче заявления на визу, при приеме на работу, при оформлении заявки на кредит в банк и в других случаях. Такая необходимость вызвана тем, что содержащие персональные данные документы проходят через руки нескольких сотрудников. Наличие письменного разрешения на использование персональных сведений защищает материалы от возможно попадания к третьим лицам. При устройстве на работу или при оформлении заявки в банке вся информация заполняется по установленной форме, утвержденной в организации, субъект ПД часто указывает только ФИО, ставит дату и подпись.
Очень важно правильно оформить согласие на обработку данных при получении визы. При подаче неправильно оформленного бланка последует отказ, в результате потребуется повторная подача документов. Очень важно отнестись ответственно к данному вопросу, бланк рекомендуется получить непосредственно в учреждении или скачать его с сайта. При обращении в визовый центр требуется оформить доверенность, уполномочивающую сотрудников заполнить согласие на обработку персональных данных, что исключает ее попадание к третьим лицам.
Согласие на переработку личной информации должно быть заполнено разборчивым почерком, оформленная с ошибками виза становится недействительной, выезд за пределы страны невозможным. Скачанный с сайта консульства бланк может быть заполнен в электронном виде, помарки и исправления не допускаются.

Как отозвать согласие на обработку персональных данных

Согласие на обработку персональных данных может быть отозвано в любой момент, для этого достаточно оформить соответствующее заявление в произвольной форме, типовые бланки отсутствуют.
Документ должен содержать следующие данные:

• реквизиты адресата отзыва (название компании, адрес, ФИО);
• информация о составителе — физическое лицо или его представитель, чьи личные данные отзываются, (ФИО, должность, адрес, паспортные данные);
• название документа (отзыв согласия/заявление об отзыве);
• текст от составителя, где прописано намерение в соответствии с п.2 ст.9 Закона 152-ФЗ, может быть указана просьба остановить обработку, использование информации в течение определенного времени;
• дата и подпись.

Является ли номер телефона персональными данными

В законодательстве отсутствует точное определение, относится ли телефонный номер к личной информации. На многочисленные вопросы пользователей в Роскомнадзоре пояснили, что только по номеру невозможно установить личность гражданина. К персональным данным его можно причислить только в связке с ФИО обладателя и населенным пунктом проживания. Если номер закреплен за физическим лицом по договору с сотовым оператором, то он также относится к ПД.

Предоставление персональных данных третьим лицам

Поводы для передачи данных третьим лицам — самые разные, это может быть заключение договоров медицинского страхования, получение банковских карт и т. д. В большой компании могут работать тысячи сотрудников, обработка такого объема данных занимает много времени. Выход из ситуации — включение данного пункта в трудовой договор. На практике в данном случае все равно требуется согласие на передачу персональных данных третьим лицам, чаще всего оно оформляется отдельно.
Чаще всего работодатель заключает трудовой договор с сотрудником, в нем перечисляются все третьи лица, имеющие право на поучение персональных данных.
Согласие на передачу личных данных третьим лицам содержать следующую информацию:

• ФИО и адрес сотрудника, паспортные данные;
• наименование и адрес компании-работодателя;
• цель передачи личной информации сотрудника третьим лицам;
• перечень информации, передача которой разрешается;
• срок действия документа;
• порядок отзыва согласия.

Политика в отношении обработки персональных данных в 2019 году

Приказ об утверждении политики обработки персональных данных от 07.02. 2017 № 13-ФЗ ужесточает ответственность в этой сфере. Действие закона начинается с 01.07.2017 г, основные нововведения касаются расширения оснований для привлечения компании-работодателя к административной ответственности, были также увеличены суммы административных штрафов. Вместо утвержденного ранее в статье 13.11 КоАП РФ единственного вида административной ответственности появится семь. За разные нарушения работодателей могут применяться разные штрафы, при выявлении нескольких нарушений по разным составам количество штрафов может быть увеличено.

Были изменены следующие составы нарушений:

• обработка личной информации в «иных» целях;
• обработка ПД без согласия;
• сокрытие данных;
• уточнение или блокировка;
• сохранность личной информации;
• обезличивание.

Упростился порядок привлечения к ответственности, до 01.01.2017 г. право на возбуждение дел по административным делам имел только прокурор. С вышеуказанной даты соответствующие дела по статье 13.11 КоАП могут возбуждать сотрудники Роскомнадзора, процедура привлечения к ответственности таким образом упростилась.

Биометрические персональные данные

К биометрическим данным относятся любые измеряемые сведения физиологического, психологического или поведенческого характера. Любой параметр, выраженный в абсолютных значениях, может быть отнесен к данной категории. Ценность биометрических данных объясняется их уникальностью, поскольку ДНК, рисунок радужки, отпечаток пальца у всех людей отличаются. Такие данные могут использоваться в качестве индивидуального пароля, их нельзя изменить или отредактировать, несанкционированный доступ исключается. Все перечисленные характеристики в комплексе повышают полезность таких сведений, особенно если речь идет об общем сборе и хранении информации в разных целях. Сегодня широко используются такие биометрические данные, как радужка глаза, голос, отпечатки пальцев, распознавание лица и ДНК. В будущем будет возможна работа не только со статическими, но и с динамическими данными: особенности поведения, походка, запах, процесс подписания документов и т. д.
При изучении физиологических характеристик было установлено, что информация о сетчатке глаза не пригодна, так как рисунок сосудов подвержен изменениям.

Обезличивание персональных данных

В законодательстве введено понятие обезличивания личной информации, процедура включает действия, в результате проведения которых определение принадлежности ПД к конкретному субъекту становится невозможным. В данной статье закреплено включение обезличивания личной информации в процесс переработки персональных данных, таким образом процедура невозможна без соответствующего согласия субъекта ПД.

Трансграничная передача персональных данных

В 152-ФЗ понятие трансграничной передачи ПД описывается как передача личной информации на территорию другого государства, это может иностранное физическое или юридическое лицо, орган власти. Какие-либо ограничения на предоставление личных данных граждан России иностранным государствам, соблюдающим права субъектов РФ, отсутствуют, за исключением возможности запрета на разглашение ПД в целях защиты Конституции РФ, законных интересов, прав, здоровья и нравственности граждан.
В список таких государств входят страны, являющиеся сторонами Конвенции, а также государства, перечень которых перечислен в Приказе № 274 Роскомнадзора.

В отношении стран, которые не обеспечивают адекватную защиту прав субъектов ПД, 152-ФЗ предусмотрены исключения, когда трансграничная передача на территорию таких стран допускается:

• письменное согласие гражданина;
• предусмотренные международными договорами РФ случаи;
• предусмотренные в федеральном законодательстве случаи, при наличии такой необходимости в целях защиты Конституции РФ, обеспечения обороны и безопасности России, а также обеспечения защиты интересов личности, общества и государства от незаконного вмешательства;
• исполнение договора, одной из сторон которого является субъект ПД;
• защита здоровья, жизни и других жизненно важных интересов гражданина или других лиц, если получение письменного согласия субъекта персональных данных по каким-то причинам невозможно.

Персональные данные детей

Согласие на обработку ПД несовершеннолетних детей дают его родители или другие представители. Чаще всего такое согласие предоставляется в образовательные учреждения с целью организации учебного процесса. В соответствии с требованиями законодательства обработка ПД не требует получения согласия, но обязательно при необходимости расширения полномочий в непредусмотренных в законе случаях (электронные дневники, сайт школы, доска почета и др.)
При заполнении согласия должны быть указаны следующие моменты:

• ФИО, полные паспортные данные представителя ребенка (родителя);
• ФИО, адрес ребенка, номер удостоверения личности, реквизиты доверенности;
• наименование и адрес учреждения, куда предоставляются данные;
• цель получения сведений о ребенке;
• перечень данных ребенка;
• перечень действий с ПД, описание методов их обработки;
• срок действия согласия;
• подпись представителя ребенка.

Подписание согласия является подтверждением законности обработки личной информации и соблюдения права ребенка. Текст соглашения должен быть тщательно изучен, особое внимание должно быть уделено тому, какая информация собирается, а также возможность ее передачи в другие учреждения.

Что не является персональными данными

Работодатель имеет право на получение информации, характеризующей сотрудника как сторону договора. Часто возникает вопрос, какая информация относится к персональным данным работника, помимо ФИО, адреса, места жительства, даты рождения, образования, профессиональной квалификации, семейного положения, предыдущих мест работы. Существуют также другие категории ПД, специальные категории персональных данных - это национальная и расовая принадлежность, политические, философские и религиозные убеждения, интимная жизнь, состояние здоровья. Персональными данными не является информация, которая не позволяет идентифицировать личность субъекта.