Глава 14. Защита персональных данных работника

 

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

 

Комментарий к статье 85

 

1. Конкретное содержание персональных данных определено Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1>. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3).

--------------------------------

<1> СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.

 

На основании п. 1 ч. 1 ст. 349.1 ТК работник государственной корпорации или государственной компании в случаях и порядке, которые установлены Правительством РФ, представляет не только сведения о своих доходах, имуществе и обязательствах имущественного характера, но также о доходах, имуществе и обязательствах имущественного характера его супруга (супруги) и несовершеннолетних детей.

2. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях, включены в Перечень сведений конфиденциального характера (Указ Президента РФ от 6 марта 1997 г. N 188 <1>).

--------------------------------

<1> СЗ РФ. 1997. N 10. Ст. 1127.

 

Согласно ст. 7 Федерального закона "О персональных данных" операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Перечень документов, предъявляемых при заключении трудового договора, изложен в ст. 65 ТК. В ней же установлено, что предъявление дополнительных документов с учетом специфики работы может предусматриваться ТК, федеральными законами, указами Президента РФ, постановлениями Правительства РФ.

4. Лицо допускается к педагогической деятельности, если работодатель располагает сведениями о том, что оно (ст. 331 ТК):

- не лишено права заниматься педагогической деятельностью в соответствии с вступившим в законную силу приговора суда;

- не имеет и не имело судимости, не подвергается или не подвергалось уголовному преследованию (за исключением уголовного преследования, прекращенного в отношении лица по реабилитирующим основаниям) за преступления против жизни и здоровья, свободы, чести и достоинства личности (за исключением незаконного помещения в психиатрический стационар, клеветы и оскорбления), половой неприкосновенности и половой свободы личности, против семьи и несовершеннолетних, здоровья населения и общественной нравственности, а также против общественной безопасности;

- не имеет неснятую или непогашенную судимость за умышленные тяжкие и особо тяжкие преступления;

- не признано недееспособным;

- не имеет заболеваний, предусмотренных перечнем, утверждаемым федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в области здравоохранения.

5. Информация, необходимая работодателю в связи с трудовыми отношениями, определяется рядом законов, например:

1) Законом РФ от 11 марта 1992 г. N 2487-1 "О частной детективной и охранной деятельности в Российской Федерации" <1>, где указано, что на приобретение правового статуса частного охранника не вправе претендовать лица (ст. 11.1):

--------------------------------

<1> Ведомости СНД и ВС РФ. 1992. N 17. Ст. 888.

 

а) имеющие заболевания, которые препятствуют исполнению ими обязанностей частного охранника (см. Перечень заболеваний, препятствующих исполнению обязанностей частного охранника, утвержденный Постановлением Правительства РФ от 19 мая 2007 г. N 300 <1>);

--------------------------------

<1> СЗ РФ. 2007. N. 22. Ст. 2636.

 

б) имеющие судимость за совершение умышленного преступления;

в) не прошедшие профессиональной подготовки для работы в качестве охранника;

г) у которых удостоверение частного охранника было аннулировано по основаниям неоднократного привлечения в течение года частного охранника к административной ответственности за совершение административных правонарушений, посягающих на институты государственной власти, административных правонарушений против порядка управления и административных правонарушений, посягающих на общественный порядок и общественную безопасность и др.;

2) Воздушным кодексом РФ (ст. 52), установившим, что на должности авиационного персонала не принимаются лица, имеющие непогашенную или неснятую судимость за совершение умышленного преступления. На работу в службы авиационной безопасности не принимаются лица:

а) имеющие непогашенную или неснятую судимость за совершение умышленного преступления;

б) состоящие на учете в учреждениях органов здравоохранения по поводу психического заболевания, алкоголизма или наркомании;

в) в отношении которых по результатам проверки, проведенной в соответствии с Федеральным законом от 7 февраля 2011 г. N 3-ФЗ "О полиции" <1>, имеется заключение органов внутренних дел о невозможности допуска этих лиц к осуществлению деятельности, связанной с объектами, представляющими повышенную опасность для жизни или здоровья человека, а также для окружающей среды;

--------------------------------

<1> СЗ РФ. 2011. N 7. Ст. 900.

 

3) Федеральным законом от 14 апреля 1999 г. N 77-ФЗ "О ведомственной охране" <1> (ст. 7), в котором установлено, что гражданин не может быть принят на работу в ведомственную охрану в случаях:

--------------------------------

<1> СЗ РФ. 1999. N 16. Ст. 1935.

 

а) наличия у него неснятой или непогашенной судимости;

б) наличия подтвержденного заключением медицинской организации заболевания, препятствующего исполнению им должностных обязанностей;

в) лишения его права занимать должности на государственной службе, в органах местного самоуправления либо заниматься охранной деятельностью приговором суда, вступившим в законную силу.

В отдельных случаях персональные данные, которыми должен располагать работодатель, определяются подзаконными нормативными актами. Так, Постановлением Правительства РФ от 6 августа 1998 г. N 892 утверждены Правила допуска лиц к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров наркотических средств и психотропных веществ <1>, согласно которым к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров, не допускаются лица (п. 4 Правил):

--------------------------------

<1> СЗ РФ. 1998. N 33. Ст. 4009.

 

а) имеющие непогашенную или неснятую судимость за преступление средней тяжести, тяжкое и особо тяжкое преступление или преступление, связанное с незаконным оборотом наркотических средств, психотропных веществ и их прекурсоров либо с незаконным культивированием наркосодержащих растений, в том числе совершенное за пределами Российской Федерации;

б) больные наркоманией, токсикоманией и хроническим алкоголизмом.

В целях обеспечения реализации права граждан на предоставление информации о наличии или отсутствии у них судимости Приказом МВД России от 1 ноября 2001 г. N 965 утверждена Инструкция о порядке предоставления гражданам справок о наличии (отсутствии) у них судимости <1>.

--------------------------------

<1> БНА РФ. 2002. N 3.

 

6. На основании ст. 9 Федерального закона от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации" <1> к персональным данным относится информация о прохождении обязательной государственной дактилоскопической регистрации, которой подлежат:

--------------------------------

<1> СЗ РФ. 1998. N 31. Ст. 3806.

 

1) граждане РФ, призываемые на военную службу;

2) военнослужащие;

3) граждане России, проходящие службу в:

а) органах внутренних дел;

б) органах по контролю за оборотом наркотических средств и психотропных веществ;

в) органах государственной налоговой службы;

г) органах по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий;

д) органах и подразделениях службы судебных приставов;

е) таможенных органах;

ж) органах государственной охраны;

з) учреждениях и органах уголовно-исполнительной системы;

и) Государственной противопожарной службе;

к) федеральном органе исполнительной власти, уполномоченном на осуществление функций по контролю и надзору в сфере миграции, и его территориальных органах, организациях, подразделениях;

л) с 1 января 2013 г. - в федеральном органе исполнительной власти, реализующем государственную политику в сфере миграции и осуществляющем правоприменительные функции, функции по контролю, надзору и оказанию государственных услуг в сфере миграции, и его территориальных органах, организациях, подразделениях, в том числе зарубежных (ст. ст. 3, 9 Федерального закона от 19 мая 2010 г. N 86-ФЗ "О внесении изменений в Федеральный закон "О правовом положении иностранных граждан в Российской Федерации" и отдельные законодательные акты Российской Федерации" <1>);

--------------------------------

<1> СЗ РФ. 2010. N 21. Ст. 2524.

 

4) федеральные государственные гражданские служащие кадрового состава органов внешней разведки, а также не входящие в кадровый состав федеральные государственные гражданские служащие и работники органов внешней разведки;

5) федеральные государственные гражданские служащие и работники органов федеральной службы безопасности, а также граждане, поступающие на военную службу по контракту, федеральную государственную гражданскую службу или работу в органы федеральной службы безопасности;

6) спасатели профессиональных аварийно-спасательных служб и профессиональных аварийно-спасательных формирований Российской Федерации;

7) члены экипажей воздушных судов государственной, гражданской и экспериментальной авиации Российской Федерации.

Перечень должностей, на которых проходят службу граждане Российской Федерации, подлежащие обязательной государственной дактилоскопической регистрации, утвержден Постановлением Правительства РФ от 6 апреля 1999 г. N 386 <1>;

--------------------------------

<1> СЗ РФ. 1999. N 15. Ст. 1828.

 

8) граждане, претендующие на получение удостоверения частного охранника;

9) граждане РФ, постоянно проживающие на территории РФ иностранные граждане и лица без гражданства, в отношении которых принято решение о выдаче удостоверения личности моряка и др.

С 1 января 2013 г. обязательной государственной дактилоскопической регистрацией будут охватывать также иностранных граждан и лиц без гражданства:

а) которым выдаются разрешения на работу либо патенты, предоставляющие право на осуществление трудовой деятельности в Российской Федерации;

б) осуществляющих трудовую деятельность в Российской Федерации в нарушение законодательства РФ;

в) обратившихся в территориальные органы федерального органа исполнительной власти, уполномоченного на осуществление функций по контролю и надзору в сфере миграции, с заявлением о получении дубликата разрешения на работу, миграционной карты, визы, разрешения на временное проживание, вида на жительство или отрывной части бланка уведомления о прибытии взамен утраченных или испорченных (ст. ст. 3, 9 Федерального закона "О внесении изменений в Федеральный закон "О правовом положении иностранных граждан в Российской Федерации" и отдельные законодательные акты Российской Федерации").

7. Кроме того, к персональным данным относятся:

- медицинские заключения о необходимости перевода работника на другую работу (ст. 73 ТК), перевода на другую работу беременных женщин и женщин, имеющих детей до полутора лет (ст. 254 ТК);

- медицинские заключения, как предшествующие приему на работу, так и периодические, представляемые в процессе трудовой деятельности в отношении работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда (в том числе на подземных работах), а также на работах, связанных с движением транспорта, и др. (ст. 213 ТК);

- медицинские заключения, предшествующие заключению трудового договора со спортсменами (ст. 348.3 ТК);

- медицинские заключения о необходимости ухода за больным членом семьи в связи с установлением неполного рабочего времени (ст. 93 ТК);

- информация о наличии у работника двух и более иждивенцев, когда решается вопрос о преимущественном праве оставления на работе (ст. 179 ТК) и др.

8. Персональные данные работника отражаются в Унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 5 января 2004 г. N 1, к числу которых отнесены:

1) по учету кадров:

- N Т-1 "Приказ (распоряжение) о приеме работника на работу";

- N Т-1а "Приказ (распоряжение) о приеме работников на работу";

- N Т-2 "Личная карточка работника";

- N Т-2ГС(МС) "Личная карточка государственного (муниципального) служащего";

- N Т-4 "Учетная карточка научного, научно-педагогического работника";

- N Т-5 "Приказ (распоряжение) о переводе работника на другую работу";

- N Т-5а "Приказ (распоряжение) о переводе работников на другую работу";

- N Т-6 "Приказ (распоряжение) о предоставлении отпуска работнику";

- N Т-6а "Приказ (распоряжение) о предоставлении отпуска работникам";

- N Т-7 "График отпусков";

- N Т-8 "Приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении)";

- N Т-8а "Приказ (распоряжение) о прекращении (расторжении) трудового договора с работниками (увольнении)";

- N Т-9 "Приказ (распоряжение) о направлении работника в командировку";

- N Т-9а "Приказ (распоряжение) о направлении работников в командировку";

- N Т-10 "Командировочное удостоверение";

- N Т-10а "Служебное задание для направления в командировку и отчет о его выполнении";

- N Т-11 "Приказ (распоряжение) о поощрении работника";

- N Т-11а "Приказ (распоряжение) о поощрении работников";

2) по учету рабочего времени и расчетов с персоналом по оплате труда:

- N Т-12 "Табель учета рабочего времени и расчета оплаты труда";

- N Т-13 "Табель учета рабочего времени;

- N Т-49 "Расчетно-платежная ведомость";

- N Т-51 "Расчетная ведомость";

- N Т-53 "Платежная ведомость";

- N Т-53а "Журнал регистрации платежных ведомостей";

- N Т-54 "Лицевой счет";

- N Т-54а "Лицевой счет (свт)";

- N Т-60 "Записка-расчет о предоставлении отпуска работнику";

- N Т-61 "Записка-расчет при прекращении (расторжении) трудового договора с работником (увольнении)";

- N Т-73 "Акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы".

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены указания по применению и заполнению форм первичной учетной документации по учету труда и его оплаты.

9. Указом Президента РФ от 30 мая 2005 г. N 609 утверждено Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела <1>. В п. 16 этого Положения перечисляются документы, которые должны быть приобщены к личному делу гражданского служащего.

--------------------------------

<1> СЗ РФ. 2005. N 23. Ст. 2242.

 

При переводе гражданского служащего на должность гражданской службы в другом государственном органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы (п. 21 названного Положения).

При назначении гражданского служащего на государственную должность Российской Федерации или государственную должность субъекта РФ его личное дело передается в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта РФ (п. 22 названного Положения).

Личные дела уволенных гражданских служащих (за исключением указанных выше) хранятся кадровой службой соответствующего государственного органа в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив. Если гражданин, личное дело которого хранится кадровой службой государственного органа, поступит на гражданскую службу вновь, его личное дело подлежит передаче указанной кадровой службой в государственный орган по месту замещения должности гражданской службы (п. 23 названного Положения).

Сбор и хранение персональных данных на муниципальных служащих предусмотрены Федеральным законом от 2 марта 2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" <1>. Статьей 30 определено ведение личного дела муниципального служащего, к которому приобщаются документы, связанные с его поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы. Такие личные дела хранятся в течение 10 лет. Личное дело муниципального служащего ведется в порядке, установленном для ведения личного дела государственного гражданского служащего.

--------------------------------

<1> СЗ РФ. 2007. N 10. Ст. 1152.

 

При увольнении муниципального служащего его личное дело хранится в архиве органа местного самоуправления, избирательной комиссии муниципального образования по последнему месту муниципальной службы. При ликвидации органа местного самоуправления, избирательной комиссии муниципального образования, в которых муниципальный служащий замещал должность муниципальной службы, его личное дело передается на хранение в орган местного самоуправления, избирательную комиссию муниципального образования, которым переданы функции ликвидированных органа местного самоуправления, избирательной комиссии муниципального образования или их правопреемникам.

Вопрос о ведении личных дел работников законом не урегулирован. На практике работодатель ведет личные дела работников, включая в них всю информацию по поводу:

1) поступления на работу, а именно:

а) паспортные данные работника;

б) копия страхового свидетельства государственного пенсионного страхования; копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

в) копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

г) анкетные данные, заполненные работником при поступлении на работу;

д) трудовой договор и др.;

2) трудовой деятельности и прекращения трудовых отношений:

а) копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;

б) заявления, объяснительные и служебные записки работника;

в) документы о прохождении работником аттестации, собеседования, повышения квалификации;

г) иные документы, содержащие сведения о работнике.

10. В соответствии со ст. 13 Федерального закона "О персональных данных" государственные и муниципальные органы создают, в пределах своих полномочий, информационные системы персональных данных. В целях обеспечения реализации прав субъектов этих данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

11. Сведения о персональных данных работников могут содержаться в электронной базе данных ведомственного характера. Так, Федеральное агентство морского и речного транспорта обеспечивает ведение электронной базы данных, содержащей сведения об удостоверениях личности моряка, выданных в Российской Федерации. Электронная база данных содержит информацию о каждом удостоверении личности моряка, выданном в Российской Федерации, об удостоверениях личности моряка, действие которых временно приостановлено, а также об изъятых удостоверениях личности моряка.

Содержащаяся в этой электронной базе информация ограничивается сведениями, необходимыми для проверки удостоверений личности моряка или статуса моряка, и включает в себя данные, перечень которых приведен в Приложении 2 к Конвенции МОТ N 185, пересматривающей Конвенцию 1958 года об удостоверениях личности моряков (2003 г.) <1>, при полном соблюдении права владельцев удостоверений на конфиденциальность своих персональных данных и удовлетворении всех требований защиты персональных данных, установленных Федеральным законом "О персональных данных" (см. Постановление Правительства РФ от 18 августа 2008 г. N 628 "О Положении об удостоверении личности моряка, Положении о мореходной книжке, образце и описании бланка мореходной книжки" <2>).

--------------------------------

<1> СЗ РФ. 2010. N 38. Ст. 4789.

<2> СЗ РФ. 2008. N 34. Ст. 393.

 

Приказом Минтранса России от 17 мая 2010 г. N 113 утвержден Порядок ведения электронной базы данных, содержащей сведения о выданных удостоверениях личности моряка, и использования указанных сведений <1>.

--------------------------------

<1> Распоряжение Правительства РФ от 9 июня 2005 г. N 748-р // БНА РФ. 2010. N 30.

 

12. Правительство РФ одобрило Концепцию создания системы персонального учета населения Российской Федерации <1>. Под ней понимается система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах РФ, иностранных гражданах или лицах без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации, на основе современных информационных технологий в рамках обеспечения конституционных прав граждан, а также предоставления услуг населению в соответствии с законодательством РФ.

--------------------------------

<1> СЗ РФ. 2005. N 24. Ст. 2414.

 

13. Работодатель должен обрабатывать персональные данные работника. Под такой обработкой согласно ст. 3 Федерального закона "О персональных данных" понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Под распространением персональных данных понимаются действия, направленные на передачу персональных данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона "О персональных данных").

Блокирование персональных данных означает временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона "О персональных данных").

Уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (п. 8 ст. 3 Федерального закона "О персональных данных").

Обезличивание персональных данных - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 Федерального закона "О персональных данных").

Персональные данные либо представляются самими работниками, либо их получают из иных источников. Хранение персональных данных должно обеспечиваться в порядке, исключающем их утрату или неправомерное использование.

14. В качестве гарантии защиты персональных данных законодателем устанавливаются принципы, лежащие в основе обработки этих данных, положения о порядке их хранения и использования в организации, о передаче персональных данных, правах работника по их защите, об ответственности лиц за невыполнение требований норм, регулирующих обработку и защиту персональных данных работника (см. комментарий к ст. 86).

15. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено Постановлением Правительства РФ от 15 сентября 2008 г. N 687 <1> (далее - Положение).

--------------------------------

<1> СЗ РФ. 2008. N 38. Ст. 4320.

 

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п. 1 Положения).

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) (п. 4 Положения).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель (п. 5 Положения).

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, о категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии) (п. 6 Положения).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы (п. 7 Положения).

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор (п. 8 Положения).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию (п. 9 Положения).

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) (п. 10 Положения).

Указанные правила применяются и в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными (п. 12 Положения).

 

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

 

Комментарий к статье 86

 

1. Каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени (ст. 23 Конституции РФ). Гарантируя действие данного права, ст. 24 Конституции РФ определяет, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Объем и содержание обрабатываемых персональных данных определяется не только ТК, но и целым рядом иных федеральных законов: Воздушным кодексом РФ, Федеральным законом от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" <1>, Федеральным законом "О государственной гражданской службе Российской Федерации", Федеральным законом "О персональных данных", Федеральным законом "О муниципальной службе в Российской Федерации", Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" <2> и др.

--------------------------------

<1> СЗ РФ. 2003. N 22. Ст. 2063.

<2> СЗ РФ. 2008. N 52 (ч. 1). Ст. 6228.

 

3. Законодатель определяет общие принципы, лежащие в основе обработки персональных данных работодателем или его представителем, цели обработки персональных данных работников - соблюдение законов, иных нормативных правовых актов, содействие в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

Федеральный закон "О персональных данных" закрепляет следующие принципы обработки персональных данных:

- законность целей и способов обработки персональных данных и добросовестность;

- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (применительно к трудовым отношениям под оператором следует понимать работодателя);

- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

4. Статья 3 Федерального закона "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" излагает перечень целей индивидуального (персонифицированного) учета:

- создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;

- обеспечение достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении;

- создание информационной базы для реализации и совершенствования пенсионного законодательства РФ, а также для назначения трудовых пенсий на основе страхового стажа застрахованных лиц и их страховых взносов;

- развитие заинтересованности застрахованных лиц в уплате страховых взносов в Пенсионный фонд РФ;

- создание условий для контроля за уплатой страховых взносов застрахованными лицами;

- информационная поддержка прогнозирования расходов на выплату трудовых пенсий, определения тарифа страховых взносов в Пенсионный фонд РФ, расчета макроэкономических показателей, касающихся обязательного пенсионного страхования;

- упрощение порядка и ускорение процедуры назначения трудовых пенсий застрахованным лицам.

5. Принимая решение о ликвидации юридического лица (о прекращении деятельности индивидуальным предпринимателем), о сокращении численности или штата работников, работодатель-организация не позднее чем за два месяца, а работодатель - индивидуальный предприниматель не позднее чем за две недели до начала проведения соответствующих мероприятий обязаны в письменной форме сообщить об этом в органы службы занятости, указав должность, профессию, специальность и квалификационные требования к ним, условия оплаты труда каждого конкретного работника, а в случае, если решение о сокращении численности или штата может привести к массовому увольнению работников, - не позднее чем за три месяца до начала проведения соответствующих мероприятий (п. 2 ст. 25 Закона РФ "О занятости населения в Российской Федерации" (в ред. Федерального закона от 20 апреля 1996 г. N 36-ФЗ <1>)).

--------------------------------

<1> СЗ РФ. 1996. N 17. Ст. 1915.

 

6. Обработка персональных данных работников допустима также с целью формирования кадрового резерва организации. Так, для замещения должностей государственной службы создаются федеральный кадровый резерв, кадровый резерв в федеральном государственном органе, кадровый резерв субъекта РФ и кадровый резерв в государственном органе субъекта РФ (ст. 17 Федерального закона "О системе государственной службы Российской Федерации"). В муниципальных образованиях в соответствии с муниципальными правовыми актами может создаваться кадровый резерв для замещения вакантных должностей муниципальной службы (ст. 33 Федерального закона "О муниципальной службе в Российской Федерации").

7. Как правило, персональные данные работодатели получают у самого работника. Например, работающая женщина представляет медицинскую справку, подтверждающую состояние беременности, в следующих случаях:

- продление срока действия срочного трудового договора до окончания беременности (ст. 261 ТК);

- установление неполного рабочего времени (ст. 93 ТК);

- расторжение трудового договора по инициативе работодателя (ст. ст. 81, 261 ТК, за исключением ликвидации организации либо прекращения деятельности индивидуального предпринимателя), и др.

Работник, являющийся опекуном ребенка в возрасте до 14 лет, предъявляет работодателю акт органа опеки и попечительства об установлении опеки над ним для получения гарантий и льгот, предоставляемых лицам, воспитывающим детей без матери (ст. 264 ТК).

Бабушка, дедушка, другие родственники, пользующиеся на основании ст. 256 ТК правом на получение отпуска по уходу за ребенком, представляют работодателю документ, подтверждающий факт родственных отношений с матерью ребенка (например, свидетельство о рождении матери ребенка, где дед указан отцом матери ребенка).

Как законодательный пробел следует расценить отсутствие положения, обязывающего работника представить работодателю персональные данные о себе в случаях, когда от этого зависит правомерность действий работодателя. Например, на основании ч. 6 ст. 81 ТК не допускается увольнение работника по инициативе работодателя (за исключением случая ликвидации организации либо прекращения деятельности индивидуальным предпринимателем) в период его временной нетрудоспособности.

Пленум Верховного Суда РФ разъяснил: при рассмотрении дел о восстановлении на работе следует иметь в виду, что при реализации гарантий, предоставляемых ТК работникам в случае расторжения с ними трудового договора, должен соблюдаться общеправовой принцип недопустимости злоупотребления правом, в том числе и со стороны работников (п. 27 Постановления от 17 марта 2004 г. N 2). Недопустимо, в частности: сокрытие временной нетрудоспособности в период увольнения с работы; сокрытие того обстоятельства, что работник является членом профессионального союза или руководителем (его заместителем) выборного коллегиального органа первичной профсоюзной организации, выборного коллегиального органа профсоюзной организации структурного подразделения организации (не ниже цехового и приравненного к нему), не освобожденным от основной работы.

Суд может отказать в удовлетворении иска о восстановлении на работе лица, уволенного в период временной нетрудоспособности, поскольку в указанном случае работодатель не должен отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий со стороны работника. Иное дело, что по просьбе работника дата его увольнения будет изменена.

8. Лицо, претендующее на должность судьи, вправе обратиться в соответствующую квалификационную коллегию судей с заявлением о рекомендации его на вакантную должность судьи (ст. 5 Закона РФ от 26 июня 1992 г. N 3132-1 "О статусе судей в Российской Федерации" <1>).

--------------------------------

<1> Ведомости СНД и ВС РФ. 1992. N 30. Ст. 1792.

 

Помимо этого заявления в квалификационную коллегию судей представляются:

- подлинник документа, удостоверяющего личность претендента как гражданина РФ, или его копия;

- анкета, содержащая биографические сведения о претенденте;

- подлинник документа, подтверждающего юридическое образование претендента, или его заверенная копия;

- подлинники трудовой книжки, иных документов, подтверждающих трудовую деятельность претендента, или их копии;

- документ об отсутствии у претендента заболеваний, препятствующих назначению на должность судьи;

- сведения о результатах сдачи квалификационного экзамена;

- характеристики с мест работы (службы) за последние пять лет трудового (служебного) стажа, а в случае работы в течение указанного срока, полностью или частично, не по юридической специальности - также с мест работы (службы) по юридической специальности за последние пять лет такой работы (службы). Характеристика должна быть выдана претенденту на должность судьи в течение семи дней со дня его обращения;

- сведения о доходах претендента, об имуществе, принадлежащем ему на праве собственности, и обязательствах имущественного характера претендента, а также сведения о доходах супруга (супруги) и несовершеннолетних детей претендента, об имуществе, принадлежащем им на праве собственности, и обязательствах имущественного характера супруга (супруги) и несовершеннолетних детей претендента по форме согласно приложениям 1 и 2 к Закону РФ "О статусе судей в Российской Федерации".

Квалификационная коллегия судей организует проверку достоверности указанных документов и сведений. При этом она вправе обратиться с требованием о проверке достоверности представленных документов и сведений в соответствующие органы, которые обязаны сообщить о результатах проверки в установленный коллегией срок, но не позднее чем через два месяца со дня поступления указанного требования.

9. Федеральный закон "О персональных данных" вводит запрет на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением следующих случаев:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, и в других случаях.

Обработка специальных категорий персональных данных в названных выше случаях должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка (ст. 10 указанного Закона).

10. Работодатель, повторим, не вправе получать и обобщать информацию о религиозных убеждениях работника. Однако в некоторых случаях сам работник ставит в известность работодателя о своей религиозной принадлежности.

Приведем следующий пример. На основании ст. 4 Федерального закона от 26 сентября 1997 г. N 125-ФЗ "О свободе совести и о религиозных объединениях" <1> по просьбам религиозных организаций соответствующие органы государственной власти в Российской Федерации вправе объявлять религиозные праздники нерабочими (праздничными) днями на соответствующих территориях. В связи с этим законодательством некоторых субъектов РФ установлено, что в субъекте РФ устанавливаются дополнительно нерабочие праздничные дни (помимо тех, которые установлены на федеральном уровне). Так, Закон Республики Башкортостан от 27 февраля 1992 г. N ВС-10/21 "О праздничных и памятных днях, профессиональных праздниках и иных знаменательных датах в Республике Башкортостан" <2> установил нерабочие праздничные дни: Ураза-байрам; Курбан-байрам.

--------------------------------

<1> СЗ РФ. 1997. N 39. Ст. 4465.

<2> Законы Республики Башкортостан. 1992. Вып. III.

 

При этом в Законе закреплено: "Представителям других конфессий в дни религиозных праздников по их просьбе администрации предприятий, учреждений и организаций предоставляют один дополнительный нерабочий день в счет ежегодного отпуска либо на других условиях по договоренности с работником".

Сведения о частной жизни работника (сведения о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны только с его письменного согласия. Например, является ли работник отцом, воспитывающим детей без матери, является ли женщина одинокой матерью, находится ли в состоянии беременности, имеет ли ребенка-инвалида в возрасте до 18 лет.

Работодатель не вправе получать и обобщать информацию о членстве в общественных объединениях, профсоюзной организации. Вместе с тем в ряде случаев работодатель обязан учитывать мотивированное мнение выборного органа первичной профсоюзной организации. Этот порядок (процедура) должен быть выполнен при расторжении трудового договора по инициативе работодателя в случаях: когда этот работник - член профсоюза; сокращения численности или штата работников (п. 2 ч. 1 ст. 81 ТК); несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации (п. 3 ч. 1 ст. 81 ТК); неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (п. 5 ч. 1 ст. 81 ТК).

Из этого следует, что в определенных случаях работодатель вправе располагать информацией о членстве работника в профессиональном союзе.

11. Как отмечается в ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <1>, защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

--------------------------------

<1> СЗ РФ. 2006. N 31 (ч. 1). Ст. 3448.

 

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Как обладатель информации работодатель обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

12. При обработке персональных данных оператор обязан принимать необходимые организационные и технические меры для защиты этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Федерального закона "О персональных данных").

13. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 17 ноября 2007 г. N 781 <1> (далее в этом пункте - Положение), устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

--------------------------------

<1> СЗ РФ. 2007. N 48 (ч. 2). Ст. 6001.

 

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах (п. 1 Положения).

В соответствии с п. 2 Положения безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к этим данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также путем исключения иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Достаточность мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (п. 3 Положения).

14. Положение о методах и способах защиты информации в информационных системах персональных данных утверждено Приказом ФСТЭК России от 5 февраля 2010 г. N 58 <1> (далее в этом пункте - Положение).

--------------------------------

<1> РГ. 2010. 5 марта.

 

Это Положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, или лицом, которому на основании договора оператор поручает обработку персональных данных (п. 1.1 Положения).

К методам и способам защиты информации в информационных системах относятся (п. 1.2 Положения):

- методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также от иных несанкционированных действий;

- методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также от иных несанкционированных действий.

Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты может привлекаться организация, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 1.3 Положения).

Методами и способами защиты информации от несанкционированного доступа являются:

- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- резервирование технических средств, дублирование массивов и носителей информации;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- использование защищенных каналов связи;

- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок (п. 2.1 Положения).

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (п. 6 Положения).

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств (п. 7 Положения).

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (п. 8 Положения).

Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК России и ФСБ России в пределах их полномочий (п. 9 Положения).

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе (п. 10 Положения).

При обработке персональных данных в информационной системе должно быть обеспечено (п. 11 Положения):

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Обеспечение безопасности персональных данных при их обработке в информационных системах включает следующие мероприятия:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и подготовку заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или к другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных (п. 12 Положения).

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных (п. 13 Положения).

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом (п. 14 Положения).

Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных выше, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица (п. 15 Положения).

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин (п. 16 Положения).

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с ФСТЭК России и ФСБ России в пределах их полномочий (п. 19 Положения).

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются ФСБ России (п. 21 Положения).

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации утверждено Приказом ФСБ России от 9 февраля 2005 г. N 66 <1>.

--------------------------------

<1> БНА РФ. 2005. N 11.

 

15. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено Постановлением Правительства РФ от 15 сентября 2008 г. N 687 (далее в этом пункте - Положение). В соответствии с этим Положением к мерам по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, относятся:

- обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13 Положения);

- необходимость обеспечения раздельного хранения персональных данных (материальных носителей), обраб