Программа защиты персональных данных на предприятии

Документальное обеспечение при организации защиты персональных данных на предприятии

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных. Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.

Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

• частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
• инструкцию пользователя конфиденциальной информации (п. 13);
• инструкцию администратора данных (п. 13);
• журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
• список (перечень) лиц, которые допущены к обработке (п. 13 (в));
• электронный журнал обращений (п. 15, 16);
• приказ с перечнем мест хранения (п. 13).

Политика предприятия в области защиты персональных данных

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

• общие принципы работы;
• порядок обработки на бумажных носителях;
• правила работы в информационных системах;
• особенности хранения;
• порядок передачи;
• инструкция для сотрудников;
• другие моменты.

Перечень основных локальных документов

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

• положение об обработке персональных данных (ст. 22);
• план мероприятий для проведения контроля (ст. 18.1);
• распорядительный акт о назначении ответственных (ст. 22.1);
• внесение дополнений в должностные инструкции (ст. 22.1);
• форма согласия на обработку персональных данных (ст. 6 и 9);
• форма запроса на доступ (ст. 14);
• формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

Читайте так же:   Срочный трудовой договор по совместительству

• создание проекта;
• получение согласования от компетентных специалистов компании;
• введение в действие путем подписания приказа;
• доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

• общие сведения;
• список информации и документов, содержащих данные о гражданах;
• обязательства нанимателя;
• процедура предоставления личных сведений;
• способы и виды работы с информацией о гражданах;
• оформление доступа к сведениям;
• защита конфиденциальной информации;
• права и обязанности субъекта;
• ответственность должностных лиц и компании.

Перечень информации, относящейся к персональной

Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

• обезличенные – по ним нельзя определить конкретное лицо;
• общие – первичные и основные;
• специальные – здоровье, религия, раса, нация и т.д.;
• биометрические – физиология и биология.

Персональные данные – это любые сведения, относящиеся к физическому лицу.

В перечень входит:

• фамилия, имя, отчество;
• число и населенный пункт рождения;
• адрес проживания;
• информация о документе, удостоверяющем личность;
• СНИЛС;
• ИНН;
• сведения о дипломах;
• информация о полученных доходах и оплате труда;
• семейный статус;
• другое.

Методы сбора и защиты ведомостей

Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.

Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

Согласно Закону № 152-ФЗ фирма обязана:

• определить, кто будет отвечать за организацию процесса обработки личных данных;
• ввести в работу внутренние документы;
• обеспечивать безопасное применение и использование;
• контролировать процесс работы с информацией;
• предотвращать вред, если будет нарушено законодательство;
• знакомить с правилами работы граждан, принимаемых по трудовому договору.

Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

• реализация правил конфиденциальности;
• пресечение неразрешенного доступа;
• выявление фактов незаконного доступа и устранение вреда;
• организация защиты технических средств;
• запись резервных копий.

Назначение ответственных за хранение и обработку

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

• начальник кадрового отдела;
• инспекторы отдела по работе с персоналом;
• работники бухгалтерии;
• специалисты отдела информатизации.

Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

• взятие у гражданина согласия;
• согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

• собирает;
• уточняет;
• систематизирует;
• использует;
• удаляет;
• хранит.

Нарушения положения и ответственность должностных лиц

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Читайте так же:   Требования при передаче персональных данных третьим лицам

Административная ответственность (КоАП РФ):

• ст. 13.11 – нарушение порядка работы с информацией;
• ст. 13.12 – несоблюдение правил защиты;
• ст. 13.14 – разглашение сведений;
• ст. 19.5 – невыполнение предписания контролирующего органа.

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

Инструкция для работников

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

• безопасного использования различных программ и технических средств;
• применения логинов и паролей;
• предоставления доступа;
• антивирусной защиты;
• работы с носителями;
• другие моменты.

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/zaschita-personalnyh-dannyh.html

Федеральная программа по защите персональных данных | Защита персональных данных при покупке сертифицированной ФСТЭК программы

Система защиты персональных данных, действующая в России, налагает на организации дополнительные обязанности. Практически все из них имеют в распоряжении персональные данные сотрудников и должны применять установленные меры для их защиты. Большинство организаций могут обойтись только минимальными предосторожностями, но многие, которые не ограничиваются только анкетными сведениями работников, вынуждены выполнять требования Роскомнадзора.

Нормативно-правовое регулирование

Федеральный закон № 152-ФЗ определяет основные понятия в области защиты персональных данных. Под ними он понимает любую информацию, которая может иметь отношение к конкретному физическому лицу. Организация получает такую информацию в следующих случаях:

• при приеме на работу;
• при оказании услуг – например, образовательных, медицинских, оформлении кредита;
• в случае передачи ей этих сведений третьими лицами в установленном законом порядке.

В каждом из этих случаев данные обрабатываются при помощи компьютерных технологий и, в связи с уязвимостью систем защиты и информационных сетей, информация может быть доступна третьим лицам. Известны случаи, когда в сеть попадали базы данных не только страховых компаний, но и Пенсионного Фонда РФ.

Все это налагает определенные обязательства на компании по установке программного обеспечения, гарантированно защищающего важные сведения, а также по другим действиям, обеспечивающим защиту информационных прав граждан. Регулирование не ограничивается только одним законом. Такие государственные органы, как Роскомнадзор и ФСТЭК, разрабатывают собственные нормативные акты методического и регламентирующего характера.

Важно, что отдельной Федеральной программы по защите персональных данных граждан пока не разработано, все органы действуют в пределах своих полномочий.

Полномочия Роскомнадзора, ФСТЭК и обязанности компаний

Применительно к операторам, обрабатывающим существенные массивы данных, закон вводит определенные требования. Одним из них становится обязанность включения компании в реестр, который ведет ФСТЭК. В дальнейшем эта организация проводит проверки соблюдения законодательства о защите персональных данных.

Одним из проверяемых факторов становится использование программного обеспечения, способного гарантировать надлежащую степень защиты, которое должно работать помимо осуществляющих общую защиту периметра информационной безопасности DLP-систем и SIEM-систем.

Класс сертификации зависит от серьезности задач, выполняемых оператором.

Кроме того, требуется:

• разработать пакет внутренней документации, на основании которой происходит защита персональных данных. Как правило, это Политика обработки персональных данных и прилагаемые к ней документы;
• разработать форму согласия на обработку персональных данных и обеспечить подписание ее каждым субъектом, предоставляющим свои сведения компании-оператору;
• назначить сотрудника, ответственного за обеспечение исполнения требований закона;
• направить уведомление в Роскомнадзор и встать на учет в реестр операторов.

В свою очередь, Роскомнадзор внесет данные предприятия в свой реестр и в установленный срок, не ранее чем через три года после внесения, будет проводить проверки правильности соблюдения законодательства об охране персональных данных.

Мошенничество в сфере защиты персональных данных

Как в большинстве случаев отсутствия исчерпывающей информации, компании и в сфере защиты персональных данных часто становятся жертвами мошенников, навязывающих услуги, приобретение которых по закону не требуется. Для включения в реестр компании нужна разработка пакета внутренних документов, которые отражают принятые стандарты и методики защиты и обработки. Эти документы не сложны в разработке, их форматы легко найти в сети Интернет.

Тем не менее многие российские компании массово получали рассылки по электронной почте от Главного управления единого центра сертификации (такой организации среди федеральных органов не существует), в которых им угрожали административными штрафами в случае отказа от подачи документов, аргументируя это тем, что в реестр должны быть внесены все российские предприятия независимо от формы собственности. Опирались они на некую Федеральную программу по защите персональных данных.

Такие мошенники навязывают услуги по подготовке положений и постановке в реестр, при этом предлагая скидку на услуги.

Заявленные им штрафы, от 50 до 300 тысяч рублей, не соответствуют суммам, указанным в КоАП для компаний, нарушивших требования Закона № 152-ФЗ. Сейчас оператору угрожают следующие меры ответственности:

• за обработку данных, если она не соответствует закону, – до 50 тысяч;
• за обработку данных без согласия субъекта – до 75 тысяч;
• за отсутствие внутренней Политики – до 30 тысяч;
• за непредоставление уведомления в Роскомнадзор или запрашиваемой им информации – до 5 тысяч (ст. 19.7 КоАП РФ).

Заявленная цифра в 300 тысяч была произвольно взята из одной из статей Уголовного кодекса, связанной с распространением информации.

Следует знать, что Федеральной программы по защите персональных данных не существует. Этим термином неправомерно воспользовалась небольшая компания, создавшая частный сайт и организовавшая электронные рассылки с целью заработать на неинформированности участников рынка. По факту, если организация только обрабатывает данные своих работников, то, в соответствии с п. 2 ст. 22 Федерального закона № 152-ФЗ, от нее не требуется подачи уведомления о начале деятельности, связанной с обработкой персональных данных, и постановки на учет в реестре. Также выполнение этой обязанности не потребуется, если:

• сведения получены на основании разового договора на оказание каких-либо услуг и используются только в связи с исполнением обязательств по этому договору;
• сведения предоставлены общественной или религиозной организации и используются ею только в связи с ее уставными целями, не передаваясь третьим лицам.

Само по себе внесение в реестр требует только захода на сайт Роскомнадзора, заполнения уведомления, распечатывания его и отправки по почте. Более серьезные мероприятия необходимо предпринимать только организациям, от которых требуется серьезный подход к защите и более высокая ее степень, например, банкам и операторам мобильной связи. От них потребуются дополнительные технические меры защиты, разработка документации, установка сертифицированного ПО.

Интересно, что в 2017 году были зафиксированы случаи рассылки не только требований рекламного характера, но и писем, направленных от имени Роскомнадзора с уведомлением о проведении внеплановых проверок соблюдения требований закона № 152-ФЗ. Эти письма приходили от имени одного из заместителей руководителя. Они, вне зависимости от природы их возникновения, уже были изначально незаконны, так как, исходя из требований закона:

• плановые проверки назначаются в году, предшествующем проверке, и сведения о них размещаются в реестре на сайте Генеральной прокуратуры;
• назначение внеплановой проверки должно быть обосновано и согласовано с органами прокуратуры.

Тем не менее эти уведомления внесли замешательство в ряды многих компаний и потребовали официальных разъяснений Роскомнадзора, которому пришлось издать письмо, поясняющее, что данные документы не исходили от ведомства.

Сертифицированное программное обеспечение и иные технические и организационные меры

Для прохождения проверок оператору, работающему с данными многих лиц, в соответствии с требованиями Федерального закона, необходимо установить ПО для их обработки. Это может быть как отдельная программа, так и модуль CRM-системы, отвечающий за обработку кадровых данных. ФСТЭК выдает сертификаты любому разработчику, обратившемуся к нему с заявлением при условии соответствия программы требованиям. Но существуют следующие минусы:

• сертификат выдается только на одну версию программы, в случае ее обновления процедуру придется проходить заново;
• документ предоставляется на ограниченное число версий;
• расходы на сертификацию повышают стоимость ПО для потребителя.

Сертифицированные таким образом системы защиты гарантируют, что сведения не попадут третьим лицам, которые могут использовать их незаконным способом. Если персональные данные поступают на сайт, например, при заполнении анкеты или открытии личного кабинета в интернет-магазине, там должна быть размещена электронная форма согласия на обработку персональных данных, имеющая гиперссылку на политику их охраны.

При разработке внутренней политики и документа, которым дается согласие на обработку персональных данных, необходимо обеспечить наличие в них следующих сведений:

• полные данные об операторе;
• цель обработки и сбора сведений, позволяющая исчерпывающе определить особенности их обработки и возможность передачи третьим лицам;
• объем и описание требуемых сведений;
• если есть лицо, осуществляющее обработку сведений по поручению оператора, необходимо исчерпывающе определить такое лицо;
• действия, которые будут совершаться в отношении переданных данных;
• способы их обработки (копирование, передача, хранение);
• период, по истечении которого переданные данные будут уничтожены;
• срок действия согласия, возможность его отзыва.

Утверждать документ в Роскомнадзоре не требуется, он может быть утвержден общим собранием или генеральным директором компании. Храниться он должен в бумажном виде при условии размещения электронной копии на сайте.

Несмотря на то, что Федеральной программы по защите персональных данных не существует, это не снимает с компаний ответственности за необходимость обеспечения их защиты и правильной обработки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/federalnaya-programma-po-zashchite-personalnyh-dannyh/

Меры по защите персональных даных сотрудников

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников.

Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных». В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных). Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных. Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные. Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству. При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства. В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

•  список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами. В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации. При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.). Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д. Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге. Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: https://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

➤ Защита персональных данных работника: пошаговая инструкция

Компания обязана обеспечить надежную защиту персональных данных. Эксперты расскажут, как разработать положение о защите и какие уровни защищенности использовать.

Скачайте документы по теме:

Как разработать положение о защите персональных данных

Работник предоставляет работодателю сведения, которые носят личный характер, еще на этапе анкетирования и в процессе трудоустройства. Такой вид информации носит конфиденциальный характер и не подлежит разглашению. Положение о защите персональных данных работников относится к документу, в котором прописаны правила обработки и хранения разных видов информации, полученной от работника.

Получать, хранить и передавать личные сведения сотрудников можно только с учетом положений локального нормативного акта, с которым персонал знакомят под подпись. В пункте восьмом статьи 86 ТК РФ указано, что всех работников необходимо предварительно ознакомить с указанным Положением. При составлении документа необходимо руководствоваться актуальными требованиями законодательства. В Положение включать шесть тематических разделов.

Положение о работе с персональными данными

Смотреть образец

Положение о защите персональных данных работников должно содержать следующие разделы:

• общие положения;
• порядок получения и систематизации конфиденциальной информации;
• порядок хранения, использования и передачи;
• гарантии сохранения конфиденциальности.

Это стартовая заготовка, структуру которой можно корректировать, дополнять и изменять, объединять разделы. На базе такого документа удобно разрабатывать такой, который будет полностью соответствовать условиям работы каждой конкретной организации. Особое внимание уделяют разделам сбора, хранения, систематизации информации. Подробное описание каждого пункта позволит работодателю обезопасить себя на случай возникновения спорных ситуаций и проверок.

Совет от эксперта «Системы Кадры»

Эксперт «Системы Кадры» расскажет, как организовать обработку персональных данных сотрудников. Из статьи вы узнаете:

• как проводить обработку персданных с согласия и без согласия сотрудников;
• каким способом обеспечить защиту сведений конфиденциального характера;
• как подготовить и передать уведомление об обработке в Роскомнадзор;
• как обезличивать полученные сведения.

Защита персональных данных: как утвердить Положение

Защиту персональных данных в организациях проводят с учетом действующего Положения. Этот документ после составления нужно утвердить. Сделать это можно одним из способов:

1. Работодатель издает приказ.
2. На бланке основного документа предусматривается поле для внесения реквизитов: «Заверено». Руководитель ставит свою подпись и печать, указывая, что Положение заверено.

В первом случае, который считается более трудоемким, распоряжение оформляют в общем порядке. Он ничем не отличается от стандартных приказов, которыми утверждают внутренние нормативные акты организации. Проект положения, как правило, разрабатывает созданная рабочая группа.

Что такое защита персональных данных работника

Персональные данные, защита персональных данных (образец) — полное определение этого понятия содержится в законе под №152-ФЗ от 27.07.2006, который является ключевом нормативным документом, закрепляющим на федеральном уровне основные нормативы и принципы обращения с конфиденциальной информацией сотрудников. В соответствии со статьей 3 указанного закона к персональным относятся данные, которые прямо или косвенно касаются конкретного субъекта или физического лица.

Государственному органу, работодателю, являющемуся юридическим или физическим лицом, субъект предоставляет о себе определенные сведения. При этом оператор вправе обрабатывать полученную информацию, передавать ее третьим лицам с согласия самого субъекта. Средства обеспечения безопасности персональных данных поручены стороне, которая их получает.

★ Эксперт журнала «Кадровое дело» расскажет о том, что за персональные данные теперь штрафуют строже. Что важно проверить в организации. Из статьи вы узнаете, когда нужно получать у работников согласие на обработку персональных данных. Как хранить в кадровой службе документы с личной информацией работников

Уровни защищенности персональных данных

Требования к защите персональных данных установлены актуальным законодательством, все персональные данные подразделяют на 5 основных видов:

1. Общие.
2. Общедоступные.
3. Обезличенные.
4. Специальные.
5. Биометрические.

К общей информации относят паспортные данные человека (ФИО, дата рождения, семейное положение), домашний адрес, номер телефона, сведения о полученном образовании и так далее. Действующее законодательство не дает исчерпывающий перечень общих данных, но весьма подробно описывает разновидности специальных данных, для которых устанавливаются особые правила по сбору, обработке и хранению.

К специальным данным относят:

• расовую принадлежность;
• вероисповедание;
• политические, философские убеждения;
• наличие судимостей;
• состояние здоровья и так далее.

Запрашивать спецданные можно только в случаях медицинского обслуживания с соблюдением врачебной тайны, страхового обслуживания, осуществления правосудия, защиты жизни и здоровья субъекта, противодействия терроризму. Специальные сведения не возбраняется обрабатывать, если субъект дал письменное согласие на это или сделал такие сведения общедоступными.

★ Эксперты «Системы Кадров» расскажут, в каких случаях согласие сотрудника на передачу персональных данных не требуется

К биометрическим сведениям относятся данные о биологических, физиологических особенностях человека. Иногда без таких данных невозможно обойтись. Обработка и хранение проводится в соответствии с постановлением Правительства РФ под №512 от 6 июля 2008года. Как только определенная цель будет достигнута, специальные и общие сведения должны быть обезличены и уничтожены. По обезличенным данным невозможно установить, какому конкретно субъекту они принадлежат, что актуально для проведения статических опросов, отчетов и так далее.

Согласие сотрудника на обработку его персональных данных

Смотреть пример

★ Эксперт «Системы Кадры» расскажет, как защитить персональные сведения, находящиеся в компьютерной базе данных. Из статьи вы узнаете, какие методики применять, чтобы обеспечить надежную защиту данных от несанкционированного использования.

Как защитить персональные данные в организации: пошаговая инструкция

Информационную защиту персональных данных проводят с учетом требований Трудового кодекса РФ, иных федеральных законов (на основании ст. 87 ТК РФ). Это означает, что работодатель вправе самостоятельно определить общий порядок такой обработки, закрепить его в локальном нормативном акте, в частности, в Положении о работе с персональными данными сотрудников. При приеме на работу сотрудников знакомят с указанным локальным нормативным актом под подпись.

Руководитель назначает приказом ответственное лицо по работе с персданными. Чаще всего им является сотрудник службы персонала, который в силу своего рода деятельности чаще всего сталкивается с информацией конфиденциального характера.

Конкретные меры по обеспечению полной безопасности персональных данных сотрудников при их обработке и хранении предусмотрены статьей девятнадцатой Закона от 27.07.2006 года под № 152-ФЗ и Требованиями, которые утверждены постановлением Правительства РФ от 1.11.2012 года под № 1119.

С учетом этого каждая организация разрабатывает свою систему защиту от несанкционированного использования.

Конкретные средства защиты конфиденциальной информации для информационной системы обработки персданных выбирает работодатель с учетом нормативно-правовых актов ФСБ России и ФСТЭК России. При обработке в системах можно устанавливать до 4 уровней защищенности в зависимости от соответствующей категории данных и от количества сотрудников, сведения о которых содержатся в системе.

Определение уровня защищенности персональных данных предусмотрены пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1.11.2012 года под № 1119. Устанавливают режим безопасности помещений, назначают лиц, ответственных за такую безопасность и так далее. Конкретные требования установлены составом и содержанием как организационных, так и технических мер, утвержденными приказом ФСТЭК России от 18.02.2013 года под № 21.

Чтобы обеспечить контроль защищенности, работодатель или уполномоченное им лицо 1 раз в 3 года осуществляют контрольные проверки. На договорной основе к таким проверкам привлекают специализированные организации, имеющие лицензию на проведение таких видов деятельности.

★ Эксперт журнала «Кадровое дело» расскажет, как утвердить политику обработки персональных данных, чтобы избежать штрафа Роскомнадзора. Из статьи вы узнаете, какие персональные данные вправе обрабатывать работодатель. Сколько хранить информацию о сотрудниках. В каких случаях нужно уничтожить персональные данные.

Смотрите видео по теме

Проверяем персональные данные работника при трудоустройстве

Рассказывает Светлана Шнайдер, директор по персоналу ОАО «Развитие активов», член комитета по трудовому законодательству Национального союза кадровика, практикующий юрист

Вывод

Работник предоставляет работодателю сведения, которые носят личный характер, еще на этапе анкетирования и в процессе трудоустройства. Такой вид информации носит конфиденциальный характер и не подлежит разглашению. Положение о защите персональных данных работников относится к документу, в котором прописаны правила обработки и хранения разных видов информации, полученной от работника.

Выбор конкретных средств защиты конфиденциальной информации для информационной системы обработки персданных осуществляется работодателем с учетом нормативно-правовых актов ФСБ России и ФСТЭК России.

При обработке в системах могут устанавливаться до четырех уровней защищенности в зависимости от соответствующей категории данных и от количества сотрудников, сведения о которых содержатся в системе

Источник: https://www.kdelo.ru/art/384739-zashchita-personalnyh-dannyh-instruktsiya-19-m1