Саратовский вести, 13.04.2010г.

С 1 января 2010 г. большинство информационных систем персональных данных в обязательном порядке должны пройти новую процедуру оценки соответствия требованиям нормативных документов. Новые положения дополняют ранее установленные Федеральным законом требования о получении согласия субъекта персональных данных на их обработку.

Начнем с того, что персональными данными считается любая информация, относящаяся к определенному физическому лицу, а именно: имя, адрес, имущественное положение, доходы и другая информация.

Под информационными системами персональных данных понимается совокупность персональных данных, а также технологий и технических средств, позволяющих осуществлять их обработку (сбор, систематизацию, хранение, использование, распространение и т.д.).

Что касается оператора, то в качестве такового могут выступать государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки. Другими словами оператор — это лицо, которое осуществляет действия по обработке персональных данных.

Новыми правилами на операторов возложена обязанность по классификации информационных систем персональных данных.

Для целей классификации информационных систем персональных данных персональные данные разделены на четыре категории:

- категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

- категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию (за исключением персональных данных, относящихся к категории 1);

- категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;

- категория 4 - обезличенные и (или) общедоступные персональные данные.

В целях дифференцированного подхода к обеспечению безопасности персональных данных в зависимости от характера и объема обрабатываемых персональных данных информационным системам присваивается определенные классы. Всего в Законе указано четыре класса. Среди них:

- 1 и 2 классы (наличие большого объема данных и/или данных, относящихся к частной жизни субъектов) - обязательная сертификация;

- 3 класс - декларация о соответствии;

- 4 класс (исключительно обезличенные и/или общедоступные данные) - не подлежит обязательной оценке соответствия.

В зависимости от класса информационной системы оператор обязан реализовать различные мероприятия, направленные на защиту персональных данных.

Помимо оценки соответствия информационных систем персональных данных, нормативными актами предусмотрена также сертификация используемых в информационных системах средств защиты информации. Так, криптографические средства защиты подлежат сертификации в системе ФСБ России.

Кроме того, с 1 января 2010 г. операторы персональных данных будут также обязаны иметь лицензии на те лицензируемые виды деятельности по защите конфиденциальной информации, которые они осуществляют. В частности, в случае использования криптографических средств защиты информации оператор обязан иметь лицензию ФСБ России на право осуществления деятельности по техническому обслуживанию криптографических средств.

Особое внимание необходимо уделить понятию «передача персональных данных», так как на работодателя в связи с ним накладывается ряд ограничений (ст. 88 Трудового кодекса РФ). Так, собственник не имеет права:

- сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;

- сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, распоряжение информацией относительно данных работника почти всегда запрещено оглашать без согласия самого работника.

Кроме этого, работодатель должен соблюдать следующие требования:

- предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;

- разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;

- передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

В заключение необходимо отметить, что в Федеральный закон «О персональных данных» вносятся существенные изменения, которые в корне меняют природу работы с такой информацией. Мы рассмотрели лишь малую часть таких изменений. Поэтому настоятельно рекомендуем работодателям ознакомиться с основными требованиями, которые возлагаются на них в связи с внесенными в законодательство РФ изменениями.

Чаплыгин Александр

Центр Правовых Технологий «ЮРКОМ»

Персональные данные сотрудника: новые изменения в законодательстве РФ

Другие новости

Реестр компаний-льготников

МФЦ будет выдавать ключи электронной цифровой подписи

Рассрочка по долгам