Николай Мисник, 27 сентября 2018
В ходе своей многолетней деятельности по защите персональных данных мы столкнулись с одним важным парадоксом: когда речь идет о выполнении требований законодательства о персональных данных, большинство операторов считают, что речь идет только о тех персональных данных, которые обрабатываются в электронном виде. Звучит сомнительно, но это так. Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «что, содержание личного дела в отделе кадров это тоже персональные данные?». Особенно это интересно выглядит, когда нам говорят: «а у нас ответственным за организацию обработки персональных данных будет айтишник Валерий». За нашим вопросом: «а хорошо ли он знаком с трудовым законодательством?» - следует немая сцена на несколько минут, и потом коронные: «Валерий, вы же сказали что закон о персональных данных – это только средства защиты на ПК поставить и все».
Итак, чтобы не возникало подобных вопросов, запоминаем основу статьи 1 Федерального закона «О персональных данных»: « Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации…, или без использования таких средств…». До сих пор ведется полемика: обработка любого ли бумажного носителя подпадает под действие законодательства о персональных данных? Однозначного ответа нет. И попытка в нем разобраться это не цель данной статьи. Главное другое – именно за нарушения при обработке персональных данных без использования средств автоматизации Роскомнадзор РФ (орган по защите прав субъектов персональных данных) выписывает больше всего предписаний.
Одной из причин, почему обработке без использования средств автоматизации уделяется меньше внимания, является сложность в определении границ такой обработки. Многие операторы даже не задумываются, что может под нее подпадать. Если изучить судебную практику, можно выделить много интересных случаев. Конечно деятельность отдела кадров и бухгалтерии это святая святых обработки без использования средств автоматизации, но еще можно выделить ряд типичных случаев, о которых забывают операторы. Например, архив. Часто операторы ссылаются на часть 2 статьи 1 Федерального закона «О персональных данных», что, мол, архив не подпадает под действие закона. Однако, выясняется что никакой это не архив на предприятии, а просто склад с табличкой архив и архивное законодательство не соблюдается. Соответственно, этот склад в полной мере подпадает под действие закона и все что в нем хранится, должно обрабатываться в соответствии с установленными требованиями.
Другой клад для проверяющих органов находится у секретаря. Чего там только нет. И списки сотрудников со всеми контактными телефонами и адресами, и ксерокопии паспортов для покупки билетов, и даты дней рождений детей сотрудников, и анкеты соискателей, и конечно приказы, лежащие на подпись. Все это материальные носители персональных данных, к которым, в соответствии с Постановлением Правительства № 687, должен ограничиваться несанкционированный доступ и должна обеспечиваться конфиденциальность и безопасность персональных данных, находящихся в них. Следующее интересное место, это служба безопасности. Сами понимаете, что там может быть. В том числе анкеты, со сведениями о судимости, которые «обычный» оператор обрабатывать не имеет права. Так же часто забывают про проходную, заведующего гаражом, кабинет медицинской сестры, выпускающей водителей в рейс. Такие случаи можно перечислять очень долго и у всех они свои.
Самое главное понять, что именно с определения границ обработки персональных данных необходимо начинать работы по выполнению законодательных требований, то есть определить объем данных и все случаи их обработки. Отдельно можно довольно долго говорить о законности обработки тех или иных материальных носителей (например, ксерокопии паспорта в личном деле работника), но в данной статье будем исходить из того, что ваши материальные носители персональных данных обрабатываются строго в соответствии с принципами, закрепленными статьей 5 Федерального закона «О персональных данных».
Вообще закон почти не разделяет требования для разных видов обработки персональных данных, кроме статьи 19, в которой почти в каждом пункте части 2 речь идет об обработке в информационных системах. Главное, чтобы обработка персональных данных без использования средств автоматизации выполнялась с соблюдением принципов и в случаях, установленных законом. Но кроме закона, существует подзаконный акт, специально регулирующий обработку персональных данных без использования средств автоматизации – Постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 (далее по тексту - ПП 687). На нем и задержим ваше внимание. Разбирать все пункты ПП 687 не имеет смысла. Обратим внимание на «самые важные» и на те, несоблюдение которых чаще всего приводит к нарушениям.
Перейдем сразу к пункту 6. В нем говорится: «Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных,…, категориях обрабатываемых персональных данных,…, а так же об особенностях и правилах осуществления такой обработки…». Данный пункт часто является поводом для наказания операторов. Он не так уж прост, как кажется. На заре формирования практики выполнения законодательства о персональных данных существовало мнение, что все эти сведения – факт обработки персональных данных, категории персональных данных и правила осуществления обработки – должны быть в должностных инструкциях соответствующих лиц. Но данная практика не показала своей дееспособности, так как должностные инструкции каждого работника менять не очень удобно (мягко сказано), тем более, что если, например, поменяются внутренние правила обработки, придется менять опять все должностные инструкции.
Более удобно создать общие документы, с которыми проще всех ознакомить под роспись и решить требования пункта 6 ПП 687. Разберем подробнее, с чем же именно нужно ознакомить работников и как это лучше сделать. Проинформировать о факте обработки персональных данных и о категориях обрабатываемых данных можно, ознакомив работников с перечнем должностей, участвующих в обработке персональных данных, разделив этот перечень на обработку с использованием средств автоматизации и без использования средств автоматизации. Этим мы убьем двух зайцев: И ПП 687 и Постановление Правительства РФ 1119 от 01.11.2012 г. содержат требование об определении работников, участвующих в определенном виде обработки. Кроме того, ознакомив работников с перечнем персональных данных оператора, мы проинформируем его как о факте обработки, так и о категориях обрабатываемых данных. Соответственно, перечень персональных данных оператора лучше разделить по категориям персональных данных.
Закон «О персональных данных» прямо нигде не указывает, какие бывают категории. Но приказ Роскомнадзора РФ от 19.08.2011 г. «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» в пункте 6 Рекомендаций дает нам подсказку и делит персональные данные на три категории: Персональные данные, Специальные категории персональных данных и Биометрические персональные данные. Дальше, мы рекомендуем в локальный нормативный акт оператора, регулирующий порядок обработки персональных данных, например, положение, включить раздел «Особенности и правила обработки персональных данных без использования средств автоматизации», описывающий подобную обработку у оператора и автоматически знакомим всех работников с тем, что требует от нас пункт 6.
Дальше переходим к пункту 7 ПП 687, который часто игнорируется операторами, так как не все понимают, что же такое типовая форма. Одни считают что это, например, карточка Т-2. Но встает вопрос как выполнять подпункты «а» и «б» этого пункта? Вообще регуляторы не дают объяснений - что же это такое, но мы встречали случаи, когда оператора наказывали за несоблюдение требований к типовой форме документов. Исходя из судебной практики и текста этого пункта, можно выделить следующие особенности, характеризующие типовые документы. Чтобы типовой документ стал таковым, его форма должна быть утверждена приказом руководителя. Типовой документ, в контексте ПП 687, заполняется самим субъектом персональных данных. Отсюда и требования подпункта «б» о наличии поля для согласия. То есть, мы отметаем мысли о том, что карточка Т-2 это типовой документ оператора. Вообще, если решите создавать у себя типовые формы документов, - отнеситесь серьезно к этому пункту и ничего из него не забывайте.
Раздел III ПП 687 является не постоянным, но довольно частым гостем актов проверок Роскомнадзора. Пункт 13 определяет наличие трех перечней. Это перечень персональных данных, перечень мест хранения носителей персональных данных и перечень лиц, осуществляющих обработку персональных данных. Здесь часто операторы забывают, что места хранения нужно определить в отношении каждой категории персональных данных. Соответственно, для медицинского учреждения в перечне мест хранения нужно определить, где лежат те или иные материальные носители определенной категории. Карточки Т-2 в отделе кадров, договоры с платными пациентами в регистратуре, медицинские карты пациентов в ординаторских, или же все это хранится в архиве. Тогда так и пишем: архив – персональные данные и специальные категории персональных данных.
14 пункт обязывает нас обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Часто на семинарах люди задают вопрос – а что значит раздельное хранение? Для ответа на этот вопрос, сначала необходимо определить цели обработки тех или иных материальных носителей. Например, цели обработки карточек Т-2 и договоров с клиентами будут разные. Соответственно, исходя из требований 14 пункта, нам необходимо обеспечить раздельное их хранение. И здесь этот пункт тесно пересекается с 13 и 15. Здесь вступают в бой те самые, очень не простые, организационные и режимные меры.
Пункт 15 обязывает нас соблюсти условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Что это значит? Возьмем грубый пример – в одном помещении сидят специалист по работе с кадрами, специалист по работе с клиентами и медсестра организации. У них у всех будут свои персональные данные, своих категорий и отдельных субъектов. С точки зрения правильной организации хранения носителей, обеспечивающего защиту от несанкционированного доступа, каждый работник должен иметь свой запирающийся шкаф, где хранит свои документы. Это и будет раздельное хранение, обеспечивающее сохранность и исключающее несанкционированный доступ.
В законодательстве не указано, как должны храниться материальные носители персональных данных. Нигде не указано, что это должны быть сейфы или железные шкафы. Нигде не говорится про пожарную или охранную сигнализацию. Вы должны понимать, что пункт 15 построен так, что если из бронированного, несгораемого сейфа с четырьмя кодовыми замками украли материальные носители персональных данных и вы не сможете режимными мерами обеспечить доказательства, что это был электрик Владимир, то наказание будет неминуемо. Поэтому, при организации хранения материальных носителей персональных данных исходите из принципа ценности этой информации.
Сейчас, при проведении проверочных мероприятий, Роскомнадзор действует абсолютно объективно и будет удовлетворен, даже если у вас будут шкафы со стеклянными дверями и с элементарными замочками. Замочки должны быть обязательно. Понятно, что это не обеспечит стопроцентную защиту, но доказать, что вы не выполнили требования законодательства будет невозможно.
Существуют альтернативные варианты обеспечения защиты от несанкционированного доступа. Приведу два примера. В муниципальных медицинских учреждениях общая проблема – катастрофическая нехватка места для хранения документов. Одной из больниц мы помогали готовиться к проверке и столкнулись с такой проблемой. В маленькой комнате отдела кадров устроились четыре сотрудника и несколько тысяч личных дел. И ни одного шкафа. Ставить шкафы негде. Переселять людей некуда. В кабинете постоянно толкутся посторонние люди. В итоге решили закрыть дверь на засов и в двери сделать окно выдачи документов. Самое дешевое и простое решение проблемы. Несанкционированный доступ устранен? Да. В комнате находятся только те, кто допущен приказом. Больше ничего не надо. Получился большой шкаф с людьми и материальными носителями.
В другом случае мы организовывали работу с персональными данными в коллекторском агентстве. У них отдел по работе с должниками завален десятками тысяч дел на стеллажах. Хранить в шкафах в их условиях было невозможно. Решение было простое. На дверь в кабинет поставили электронный замок. Пароли раздали сотрудникам под роспись и взяли клятву никому их не передавать. Прописали приказами необходимые сведения, в том числе невозможность проникновения посторонних лиц, и все. Несколько тысяч рублей решили проблему защиты от несанкционированного доступа для огромного массива документов. Шкафы бы вышли намного дороже да и проверка прошла без замечаний.
Главное, вы должны понимать, что комплекс режимных мер, основа которых – перечень должностей, перечень информации, перечень мест хранения, назначение ответственных, контроль и разграничение доступа – это не бесполезные фантазии, а очень важный элемент защиты информации, который, при грамотном построении, может сэкономить вам кучу денег и нервов. Но это большая тема для отдельного разговора.
Дальше пункт 15 подложил свинью для многих операторов, которые пострадали при проверках. Он содержит требование определить перечень мер, порядок их принятия, перечень лиц ответственных за их реализацию. Если перечень мер и порядок их реализации можно косвенно выискать в положениях и инструкциях, то ответственных за их реализацию назначают редко. Мы встречались с такими формулировками в актах проверок: «не назначено лицо, ответственное за обеспечение сохранности персональных данных и исключение несанкционированного к ним доступа». Таким образом, это уже будет третий ответственный, указанный в законодательстве, которого вы должны не забыть назначить.
Как видите, обработка персональных данных без использования средств автоматизации имеет свои секреты и нюансы. В этой статье освещены не все, но наиболее интересные. Надеюсь, что данная статья поможет вам реализовать законодательные требования в своих организациях.
США изучают возможность включения приложения TikTok в "черный список"
Основные нарушения при обработке персональных данных работников
Идентификация в отчетности государственных служащих
Ответственность работника за разглашение персональных данных
Интересная судебная практика
Отправка Уведомления Оператора "без ошибок"
Принимаемые меры при поручении обработки третьему лицу
7 простых шагов для защиты документов в Google Docs