Организация защиты персональных данных работников

Согласие на обработку

Законодатель предусматривает, что получение информации осуществляется при согласии человека. Выражается оно в письменной форме. Заполняется документ сотрудников собственноручно. Когда другой человек представляет сведения – необходимо получить согласие от работника.

В законе отражено, что согласие должно быть сознательными и информированным. Дает его человек, о котором предоставляется информация или его представитель. Исключения могут быть отражены в законах. Закон не говорит, что согласие выражается в письменной форме. Такие правила установлены в статье 13.11 КоАП.

Исходя из этой нормы указывают, что в ситуациях, отраженных в законе, получение согласия происходит в письменной форме. Оно необходимо для того, чтобы в возможной спорной ситуации доказать получение сведений на законных основаниях. Письменный документ поможет доказать правоту.

Когда за разглашение информации могут уволить

Судебная практика

Н. обратился в суд с иском о признании увольнения незаконным, возмещении морального вреда.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.

• 2018-11-16 14:18:10
  Подскажите, пожалуйста, работник случайно отправил свои личные персональные данные служебной почтой третьей стороне. Данное сообщение было заблокировано специальной программой работодателя, адресат сообщения не получил. Работник в итоге получил выговор. Законно ли дисциплинарное взыскание в данном случае?

• 2019-01-21 10:19:21
  Подскажите, пожалуйста, организация в праве брать биометрические персональные данные своего сотрудника?

• 2019-01-21 10:23:40
  Фиксация времени прихода-ухода сотрудника.

• 2019-01-21 12:32:04

• 2019-02-19 07:54:53
  Здравствуйте, имеет ли руководитель право заниматься сбором информацие о доходах сотрудника, о наличии недвижимости. и каким путем была получена данная недвижимость? и предусмотрено ли за это наказание руководителю

• 2019-02-19 09:08:23
  спасибо

• 2019-09-25 07:53:49
  Подскажите, пожалуйста, работник установил на рабочем компьютере пароль. Законно ли это?

• 2018-11-19 08:42:02
  Из Вашего вопроса не ясно за что работник получил выговор. Если за распространение своих персональных данных, то нет, не законно. Если за использование программных средств в рабочее время в личных целях, то при наличии соответствующих ЛНА в компании, законно.

• 2019-01-21 10:21:39
  Если эти данные необходимы для работы, например для организации и контроля доступа в хранилища или для прохода на свои рабочие места

• 2019-01-21 11:25:51
  значит можно, но надо соблюсти процедуру, получить согласия, подписать допсоглашения (я бы делал) и вперед

• 2019-02-19 08:08:23
  Если это государственная или муниципальная служба, то да, имеет, работники обязаны подавать декларации за себя, супругов и несовершеннолетних детей. В коммерческих организациях такое не практикуется. Возможно это можно рассматривать как вторжение в частную жизнь. По поводу наказания сомневаюсь.

• 2019-08-14 08:00:53
  Считаю, что может, иначе как он проверит подлинность предоставленного документа и обоснует зачем он этот запрос направляет, не в МВД же ему обращаться, да и не будут там таким заниматься

• 2019-09-26 14:46:21
  Законно, но по требованию работодателя обязан его разблокировать (если имущество работодателя)

• 2019-08-13 19:37:44
  Добрый вечер. Вопрос. Может ли работодатель, который сомневается в подлинности справки о инвалидности делать письменный запрос и прикладывать копии моего паспорта, трудовой книжки, индивид программы инвалида И так далее. Своё разрешение я не давала

Документы

Для обеспечения защиты персональных данных работников в организации должны быть соответствующие документы (их бланки и образцы можно скачать ниже).

Больше информации о документах, связанных с ПД работников, найдете в нашем специальном материале.

Заявление

При трудоустройстве новый сотрудник пишет заявление о согласии на обработку персональных данных.

Факт наличия трудовых отношений еще не означает, что обработка сведений о работнике возможна, поэтому необходим этот документ. Однако организация может работать с данными, если это необходимо для исполнения договора.

Такой документ должен включать в себя:

• Дату, название, ФИО адресата.
• Тип данных.
• Название и адрес фирмы-работодателя.
• Цель предоставления информации.
• Методы обработки информации.
• Срок заявления.

О правилах написания заявления на обработку и прочие операции с ПД мы рассказываем тут.

Согласие

Работодатель может получить персональные данные только у самого работника, они являются его прерогативой. Если этого сделать нельзя, то запрашивать информацию у третьих лиц можно только с письменного согласия работника. Ему необходимо сообщить, из каких источников будут браться сведения, и для чего они нужны, а также о последствиях отказа сообщить эту информацию.

Документ должен включать в себя:

1. ФИО, адрес, реквизиты паспорта.
2. Информация о лице, получающем согласие.
3. Цель сбора сведений.
4. Перечень данных, на которые дается согласие.
5. Информация о лице, которое будет работать с информацией.
6. Способы обработки информации.
7. Срок, на который распространяется согласие.
8. Подпись сотрудника.

• Скачать бланк согласия на обработку персональных данных
• Скачать образец согласия на обработку персональных данных

Сотрудник имеет право отозвать свое согласие. Это будет целесообразно, например, при увольнении.

Положение

Положение о персональных данных – внутренний документ организации, разрабатываемый кадровой службой.

В нем необходимо указать:

1. Цели и задачи положения.
2. Понятие и состав сведений, о которых идет речь.
3. Место хранения информации.
4. Процедура получения сведений. Указывается когда нужно и не нужно получать согласие.
5. Способы обработки информации.
6. В каких пределах используются сведения. Кто имеет к ним доступ.
7. Защита сведений от несанкционированного доступа и утери.
8. Права работника относительно защиты конфиденциальной информации.
9. Ответственность за разглашение и неправильное хранение информации.

• Скачать бланк положения о персональных данных
• Скачать образец положения о персональных данных

Соглашение

В соглашении о неразглашении персональных данных указывается:

1. Имя работника.
2. Перечень обязанностей по сохранению конфиденциальности полученных сведений.
3. Ответственность работника в случае невыполнения соглашения.
4. Отмечается факт, что сотрудник ознакомлен с соглашением.

Обязательство

Обязательство о неразглашении персональных данных подписывается сотрудниками, имеющими к ним доступ. В документе сотрудники указывают сведения о себе и дают обязательство:

• Не передавать информацию третьим лицам.
• Не использовать сведения с целью извлечения выгоды.
• Сообщать руководству о фактах несанкционированного проникновения к личным данным.

В бумаге перечисляются виды ответственности работника:

1. Знание и соблюдение требований относительно работы с личными сведениями.
2. Сохранение информации в тайне.
3. Соблюдение законов РФ и внутренних приказов организации о работе с данными.
4. Своевременное оповещение руководства об утере данных.

• Скачать бланк обязательства о неразглашении персональных данных
• Скачать образец обязательства о неразглашении персональных данных

Организации, собирающие личные данные сотрудников, ответственны за их хранение и использование. Защита конфиденциальности полученной информации требует серьезного отношения.

Юридические санкции за нарушение защиты персональных данных работника

Работа с персональными данными предполагает наказания за пренебрежение кибербезопасностью, нарушение правил ведения традиционного (бумажного) документооборота как для наемного сотрудника, так и для работодателя. Строгость санкций зависит от тяжести совершенного правонарушения.

Виды ответственности, возлагаемые на работника в случае нарушений:

• материальная. Наступает в случае разглашения некоторых персональных данных других работников. Составляет полную сумму причиненного ущерба. Обычно применяется сравнительно редко ввиду сложности точной оценки этого ущерба;
• дисциплинарная. Наступает, если работник разгласил коммерческую тайну или личную информацию, которую он получил в трудовом процессе. Данное взыскание накладывается работодателем. В случае, когда оператор определяет, что вина сотрудника сравнительно невелика, допускается возможность вынесения выговора без увольнения работника;
• административная. Если порядок процедуры работы с данными нарушен, предусматривается наложение административного штрафа по КоАП РФ;
• уголовная. Подробно этот вид ответственности прописан в статье 137 УК РФ и накладывается в виде штрафа в размере до 200 тыс. рублей, дифференцированного по тяжести срока заключения либо общественных работ.

Требования к хранению и применению ПДн на предприятии

Процедура хранения, применения ПДн работников должна быть установлена оператором. При этом требуется соблюдать нормы ТК РФ, других ФЗ.

Передача ПДн работника возможна при соблюдении требований:

• не допускать разглашения посторонним лицам ПДн работника, если отсутствует его письменное согласие. Исключение – угроза жизни, здоровью сотрудника, иные случаи, описанные законодательством;
• не разглашать ПДн с коммерческой целью, если субъект не предоставит письменного разрешения;
• уведомлять лица, использующие персональные данные, о возможности их применения только для цели, для которой они сообщаются. Также оператор обязан потребовать от таких лиц подтверждений соблюдения данного правила;
• получатели ПДн работника обязаны соблюдать конфиденциальность при работе с этой информацией;
• передавать ПДн работника в организации, руководствуясь локальным нормативом, с которым сотрудники должны быть ознакомлены под роспись;
• выдача персональной информации возможна только лицам, получившим от работодателя специальные полномочия. Такие данные выдаются им в объеме, необходимом для выполнения установленных функций;
• не требовать данные о здоровье сотрудника, кроме информации, относящейся к возможности выполнения им его производственных, должностных обязанностей.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Административные штрафы

В КоАП отражена ответственность за нарушения, связанные с персональными данными. Когда человеку неправомерно отказали в предоставлении информации или передали сведения с нарушением сроков – виновные привлекаются к ответу. Эти же правила установлены, если сведения не переданы организации. Когда полученная информация не соответствует действительности – штрафная санкция составляет от пяти до десяти тысяч рублей. Это установлено для должностных лиц.

Когда не получено согласие на обработку, при условии необходимости этого акта – граждане отвечают в пределах от трех до пяти тысяч рублей. Для должностного лица сумма равно от 10 до 20 тысяч, для фирмы от 15 до 75.

Семинар «Персональные данные работника» Выходцева А.С. смотрите здесь:

Форма для приема вопроса, напишите свой

Инструкция по работе с информацией

Закон устанавливает жесткие меры за нарушения, связанные с персональными данными

Поэтому важно знать правила работы с ними

Обработка

Под обработкой данных понимается их получение, проверка, передача, хранение, накопление, уничтожение и другие действия, совершаемые с ними. . Обработка может осуществляться лишь в строго определенных целях:

• содействие в трудоустройстве;
• обучение;
• контроль выполняемой работы.

В обработке не участвуют сведения о частной жизни работника, его убеждениях.

1. Для работы с персональными данными составляется соответствующее Положение. Единой формы документа нет. В каждой организации она индивидуальна.
2. При наличии в организации Профсоюза Положение согласовывается с ним.
3. После окончательного утверждения Положения необходимо ознакомить с ним работников под роспись.
4. Назначается сотрудник, ответственный за работу с данными. Это фиксируется в виде приказа. Список лиц, имеющих доступ к конфиденциальной информации, можно включить в этот же приказ или издать отдельный.

Больше информации о том, что такое обработка ПД, найдете в специальной статье.

Хранение

87 статья ТК РФ говорит о том, что работодатель должен установить порядок хранения и использования персональных данных сотрудника.

Подробнее о порядке хранения и использования ПД работников мы рассказываем в отдельном материале.

В бумажном виде

1. Для осуществления хранения персональных сведений о сотрудниках работодателю рекомендуется организовать отдельное помещение с ограниченным доступом и использовать специальное оборудование. Необходимо принять меры от возможного уничтожения информации, организовать защиту от несанкционированного доступа. Документация в бумажном виде хранится в специальном сейфе, чтобы избежать ее утери или порчи.
2. Часть документов хранится в оригинале. Сюда относится: трудовая книжка, трудовой договор, приказы руководителя относительно сотрудника. Часть документов хранится в виде копии: паспорт и др. Личное дело содержится в отдельной папке. Папки могут располагаться по алфавиту или по отделам организации. Бухгалтерские документы могут храниться в отдельных папках без привязки к работнику.
3. Папки размещаются в сейф, к которому имеет доступ руководитель, кадровый работника, бухгалтер. Лица, имеющие доступ к конфиденциальной информации, подписывают соответствующее обязательство о неразглашении.
4. Кадровый работник проводит инструктаж среди сотрудников относительно порядка хранения и доступа к документам.

В электронном виде

1. Для хранения в электронном виде создается база данных.
2. Документы сканируются и вносятся в базу.
3. Приказом определяется те сотрудники, которые имеют к ней доступ: руководитель, кадровый отдел, бухгалтерия, программисты. Они подписывают обязательство о неразглашении.
4. Каждому сотруднику, имеющему доступ, выдается индивидуальный логин и пароль. Впоследствии будет видно, кто и когда заходил базу.
5. Для защиты от уничтожения создается резервная копия базы.

Порядок доступа

Защита персональных данных работника является обязанностью работодателя и осуществляется за его счет.

Информация должна быть защищена от несанкционированного доступа и от уничтожения.

1. В Положении устанавливается порядок доступа к персональным данным и то, в какой степени человек может их получить.
2. Приказом устанавливаются лица, имеющие доступ к информации. Они подписывают обязательство о неразглашении.

О том, что сотрудникам нужно знать о порядке доступа к их ПД, мы подробнее рассказываем тут.

Внесение изменений

Необходимость внести правок в личные сведения может возникнуть при смене паспорта, при рождении ребенка и в других случаях.

1. В случае изменения личных данных работнику необходимо обратиться в отдел кадров. Правки производятся на основании заявления работника. Подача заявления не является обязательной, но будет уместной. К заявлению прилагаются копии новых документов.
2. Документы заверяются уполномоченными лицами и прилагаются к личному делу.
3. На основании заявления издается приказ о внесении изменений в учетные документы.

Использование

Использование персональных данных сотрудника возможно лишь в пределах его рабочей деятельности. Лицо, имеющее доступ к информации не имеет право использовать ее для личной выгоды. Сведения не могут передаваться сторонним организациям и частным лицам без согласия на то сотрудника (если иное не оговорено законом).

1. В Положении устанавливается список персональных данных и возможные манипуляции с ними.
2. Для того, чтобы использовать личную информацию о работнике, необходимо его согласие.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

• компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
• объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
• форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

	Конклюдентное согласие	Согласие в письменной форме	Иные формы согласия
+	Легко получить (за исключением случаев, когда нужно согласие в письменной форме)	При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства	Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
–	Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ	Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе	Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

С какими данными работает фирма

Согласно Федеральному закону № 152-ФЗ к персональным сведениям относится все, что указывает на человека. В ТК отражен список документации, которую человеку потребуется собрать при трудоустройстве. В ней должна отражаться:

• фамилия и инициалы;
• полученное образование;
• места работы;
• адрес, по которому прописан и живет;
• данные акта, посредством которого удостоверяется личность и т. д.

Перечисление мест, где трудился человек, осуществляется в хронологическом порядке. Учитывать нужно период, когда лицо служило в армии. В этот перечень входит номер сотового, электронный адрес. Представляют сведения о документах, в том числе пенсионное свидетельство и ИНН.

Требования к защите

Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.

Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.

Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.

Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.

Категории информации

Существует многообразие видов информации:

1. Фактическая.
2. Прогнозирующая.
3. Поясняющая (оценивающая).
4. Предположительная.
5. Нормативная.
6. Логическая.
7. Объяснительная.
8. Инструментальная.

С учётом порядка предоставления информации или ее распространения она подразделяется на ту:

• которая может свободно распространяться;
• предоставляемую по соглашению сторон, принимающих участие в соответствующих отношениях;
• которая согласно федеральным законам подлежит предоставлению или распространению;
• распространение которой в РФ ограничено или запрещено.

На основании этого можно сделать вывод, что персональные сведения относятся к четвертой категории информации.

Личные данные работника – это информация, которая предоставляется работодателю при трудоустройстве. Вся предоставленная информация подвергаются защите и обработке согласно действующего законодательства. Но вот разглашение этой информации законом запрещено и наказуемо.

Что это за документы?

К персональным данным относятся 2 типа документов: полученные при найме и относящиеся к деятельности сотрудника внутри организации.

Информация, полученная при найме работника, включает в себя:

• ФИО.
• Адрес проживания.
• Дату рождения.
• Семейное положение.
• Документы об образовании, прохождении курсов повышения квалификации.
• Паспортные данные.
• Другие сведения, необходимые для трудоустройства.

Примеры сведений, связанных с работой в конкретной организации:

• Документ о назначении на какую-то должность.
• Заработная плата. Расчетные документы.
• Любые внутренние приказы компании, относящиеся к сотруднику.

О том, что входит в понятие “Персональные данные сотрудника” мы более подробно рассказываем в этом материале.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

• Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
• Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
• Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
• Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

• предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
• предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
• клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

1. Уведомление об обработке ПДн (для Роскомнадзора).
2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
3. Согласие субъекта на обработку его персональных данных.
4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
6. Документы по организации приема и обработки обращений и запросов субъектов.
7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
4. Разграничить права доступа к ПДн в ИС.

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

• средства защиты от несанкционированного доступа;
• антивирусные программы;
• межсетевые экраны;
• криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России

Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.

Порядок обработки данных работника

Работодатель организует обработку данных либо с использованием средств автоматизации, либо без использования таких средств.

В настоящее время действует Положение об особенностях обработки персональных данных без средств автоматизации. Постановление Правительства РФ № 687 от 15.09.2008 г. Такой порядок предполагает обработку данных при непосредственном участии человека.

Причем такие действия, как использование, уточнение, распространение, уничтожение. То есть даже если сотрудник кадров использует компьютер для хранения данных, то это все равно обработка без автоматизации

Важно, чтобы их хранение было обособлено от другой информации. Например, данных можно хранить на отдельных носителях

Причем если цели разные, то и носители должны быть разными. Как и место хранения этих носителей, которое должен организовать работодатель. Также он устанавливает перечень лиц, имеющих допуск к персональным данным.

Что касается обработки информации с использованием средств автоматизации, то это использование вычислительной техники. Здесь для использования пригодится Постановление Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.