» Персональные данные: «ручная» обработка


Персональные данные: «ручная» обработка


21.03.2010

Еще в прошлом году вступил в силу Закон «О персональных данных», который призван обеспечить защиту прав гражданина на неприкосновенность частной жизни, личную и семейную тайну. Однако лишь совсем недавно предприниматели смогли узнать, как именно надлежит им «вручную» обрабатывать и хранить «секретную» информацию о сотрудниках.

Разделяй и собирай

Положение, тщательно разъясняющее особенности обработки персональных данных, осуществляемой без разного рода автоматических систем, в конце сентября завизировал своей подписью председатель Правительства Владимир Путин. Авторы документа, прежде всего, посчитали нужным пояснить, что считается «неавтоматизированной» обработкой информации. По их словам, это действия (использование, уточнение, распространение или уничтожение личных данных), произведенные при непосредственном участии человека. Впрочем, если даже ценные сведения просто «лежат» в какой-либо инфосистеме или извлечены из нее, они будут считаться обработанными без использования средств автоматизации.
С первого взгляда на утвержденный премьер-министром документ становится ясно, что он требует от лиц, работающих с персональной информацией, большой организованности и развитого чувства ответственности. В противном случае избежать противоречий с нормами данного положения будет сложно. К примеру, в пункте 4 указано, что полученные сведения «личного» характера должны обособляться от любой иной информации. Условно говоря, строго запрещено записывать на один лист паспортные данные сотрудника с контактными телефонами партнера по бизнесу. Также нельзя указывать на одном и том же материальном носителе сведения, цели обработки которых заведомо несовместимы (например, банковский счет и номер автомобиля работника). Ведь, как гласит пункт 5 положения, различные категории данных должны отражаться на отдельных носителях.

«Типовые» запросы

В изучаемом нами документе перечислены также особые требования к типовым формам, в которые могут быть внесены персональные данные сотрудников. Во-первых, такая форма или связанные с ней документы — инструкция по ее заполнению, карточки, реестры или журналы — должна содержать информацию о цели обработки персональных данных. Кроме того, в ней следует указать имя человека, заполняющего ее, либо наименование и адрес специальной организации-оператора, которой переданы соответствующие функции. Разумеется, в типовом документе надо упомянуть имя, фамилию и отчество субъекта персональных данных, источник получения «личной» информации, сроки ее обработки, перечень совершаемых с поступившими в «чужие руки» сведениями действий и общее описание используемых оператором способов работы с материалом.
В той же самой форме должно быть отведено место (поле), в котором гражданин, чьи персональные сведения заносятся в базу компании, может проставить отметку (подпись), что он согласен на распространение среди ограниченного круга лиц приватной информации. Однако такое поле необходимо лишь в том случае, если требуется письменное подтверждение согласия человека на предоставление сведений о нем.

Частное мнение

Еще об одной особенности формы упомянул успевший ознакомиться с положением директор по кадрам компании «Глория» Валерий Кузьминов. Он подчеркнул, что документ должен быть составлен таким образом, чтобы каждый из сотрудников фирмы, информация о котором содержится в типовом бланке, мог прочесть ее, не видя аналогичных сведений, полученных от других субъектов персональных данных. Директор по кадрам также напомнил, что типовая форма, согласно опубликованному положению, должна исключать объединение полей, необходимых для внесения заведомо несовместимых по целям обработки данных.
— В связи с вышеперечисленными аспектами хотелось бы сказать, что пока не совсем понятно, должна ли будет сама компания изготавливать столь своеобразные бланки или же эту функцию возьмет на себя государство, — заметил Кузьминов.

Уничтожить с умом

Иногда случается так, что по недосмотру оператора или из-за какой-то технической ошибки несовместимые персональные данные все же оказываются зафиксированными на одном и том же материальном носителе, к примеру, на обычном листе бумаги. В этой ситуации положение предписывает ответственному сотруднику скопировать нужную для распространения часть информации таким образом, чтобы на копию не попала другая, «несовместимая» часть сведений о том или ином человеке.
Приблизительно тот же алгоритм действий должен соблюдаться в случае уничтожения или блокирования индивидуальной информации. Если на одном носителе имеются «нужные» и «ненужные» сведения, первые из них необходимо скопировать и сохранить, в то время как вторые — удалить. Авторы положения предусмотрели и возможность внесения в персональные данные поправок и изменений, закрепив ее в изучаемом нами нормативном документе. Если материальный носитель не позволяет внести правки непосредственно в него, то надо изготовить новый материальный носитель с уточненными данными.

Все на продажу?

В заключительных трех пунктах постановления разработчики положения описали, как обеспечить безопасность вверенных фирме персональных данных в процессе их обработки. Для начала авторы документа настоятельно рекомендуют хранить каждую категорию полученных от граждан индивидуальных сведений в разных местах (папках, ящиках, файлах и т.д.) Кроме того, они советуют установить строго определенный перечень лиц, которые обрабатывают тот или иной информационный блок либо получают к нему доступ. Наконец, необходимо исключить несанкционированный доступ к материальным носителям, причем меры, необходимые для создания безопасных условий, порядок их принятия, а также список лиц, ответственных за реализацию всех указанных в положении норм, устанавливает оператор.
Надо сказать, что сотрудники компаний, индивидуальные сведения о которых должны собираться и храниться в соответствии с указанным положением, высказывают некоторый скепсис в отношении будущего своих «секретных» сведений.
— Попробуйте зайти на рынок, где продается компьютерный «софт», и вам за умеренную цену посоветуют приобрести практически любую базу данных, в том числе с якобы «недоступной» для посторонних глаз информацией, — сетует бухгалтер компании «Новэк» Людмила Брончукова. — Так что, несмотря на все описанные в законе «О персональных данных» и недавно опубликованном положении меры предосторожности, утечки неизбежны.

Д. Алексеев

«Однократный» вариант

Особым образом в Положении оговаривается ситуация, когда персональные данные собираются у лица для однократного пропуска на охраняемую территорию. В соответствующем случае компании во избежание проблем с законом и контролерами нужно завести специальный журнал (реестр, книгу). Необходимость его ведения должна быть предусмотрена особым актом, каковой обязан составить оператор, ответственный за сбор и обработку «индивидуальной» информации. В акте следует указать цель получения персональных данных, их состав, перечень лиц, которым разрешен доступ к ним и которые в ответе за их сохранность, сроки обработки сведений, а также информацию о порядке пропуска, установленном на той или иной территории. В положении четко указано, что копировать содержащуюся в таких журналах информацию строго запрещено. Наконец, сотрудник, которому поручено ведение реестра, должен учитывать, что персональные данные любого посетителя могут быть занесены в такой журнал не более одного раза в каждом случае пропуска гражданина на охраняемую территорию.

Штрафные санкции

Стоит заметить, что законодатели установили административную ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Соответствующие санкции прописаны в статье 13.11 Кодекса об административных правонарушениях. Итак, неосмотрительный в обращении с «секретными» сведениями сотрудник в самом лучшем для себя случае может отделаться легким испугом, а именно вынесенным в его адрес предупреждением. Все остальные меры наказания носят вполне материальный характер. Так, для граждан, случайно или намеренно допустивших промашку в работе с персональными данными, законом предусмотрен штраф в размере от трехсот до пятисот рублей. Более серьезные денежные потери понесут должностные лица. Согласно указанной выше статье, с них взыщут от пятисот до одной тысячи рублей. И, наконец, самый жесткий удар придется по бюджету юридических лиц. В том случае, если они нарушат установленный законом порядок обработки «индивидуальной» информации, с них возьмут штраф в размере от пяти до десяти тысяч рублей.

«Московский бухгалтер», N 20, октябрь 2008 г.



Поиск вакансий


Кадровое агентство Фаворит