Меры по защите персональных данных работников - Компания «АПИ»

Меры по защите персональных данных работников

Ссылки на документы откроются в вашем комплекте СПС КонсультантПлюс.
Если нужного документа в комплекте нет - закажите его. Это бесплатно!

(сервис доступен для клиентов АПИ и компаний Нижегородской области)

Для защиты персональных данных работников создайте комплект следующих основных документов:

  1. приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашего учреждения, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);

  1. положение о защите персональных данных работников учреждения или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

Проверьте, возможно, для вашего учреждения уже утвержден такой локальный нормативный акт. Например, если вы подведомственны Роспотребнадзору, руководствуйтесь Положением об обработке и защите персональных данных в Роспотребнадзоре. Также есть Политика в области обработки и защиты персональных данных в ФБУ РФЦСЭ при Минюсте России;

  1. приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников учреждения. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных с учетом абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных;

  1. дополнительные документы, обязательные для вашего учреждения.

Например, если ваше учреждение подведомственно Рособразованию, вам нужно дополнительно издать приказ о создании комиссии по защите персональных данных и ряд других документов, перечисленных в Приложении 2 к Письму Рособразования от 22.10.2009 N 17-187.

Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе. Ключевое требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Поэтому мы рекомендуем, в частности, следующее:

  1. хранить персональные данные на бумажных носителях в специальных помещениях. Учитывайте, что нужно раздельно хранить персональные данные (материальные носители), которые обрабатываются в разных целях (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации);
  2. организовать особый режим доступа в эти помещения, в частности утвердить перечень лиц, имеющих доступ в данные помещения, с учетом требований п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
  3. организовать охрану таких помещений, например оборудовать их сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах.

Обратите внимание, что в некоторых случаях обязательно хранить персональные данные в железных шкафах. Например, в таких шкафах должны храниться документы воинского учета, содержащие персональные данные работников (п. 21 Методических рекомендаций по ведению воинского учета в организациях).

Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Но есть множество уточнений, с которыми сложно разобраться неспециалисту. Вы можете удостовериться в этом, изучив организационные и технические меры, которые утверждены Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378.

Поэтому, как правило, привлекают специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных).

В частности, для защиты персональных данных потребуется:

определить, какой у вас тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах);

подобрать один из четырех уровней защиты персональных данных, исходя из вашего типа угрозы, в соответствии с п. п. 816 Требований к защите персональных данных при их обработке в информационных системах.

Именно от этого и будет зависеть комплекс мер.

Например, если по итогам определения типа угрозы специалист предложит вам обеспечить минимальный (четвертый) уровень защиты персональных данных работников, вам потребуется (п. 13 Требований к защите персональных данных при их обработке в информационных системах):

  • обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
  • обеспечить сохранность носителей персональных данных;
  • утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).

За нарушение законодательства в области персональных данных вас могут привлечь, в частности, к административной ответственности по ст. 13.11 КоАП РФ.

 

Более подробно с данным материалом Вы можете ознакомиться в СПС КонсультантПлюс

Готовое решение: Какие меры по защите персональных данных работников должны предприниматься в учреждении при обработке этих данных (КонсультантПлюс, 2020) {КонсультантПлюс}

Мы Вам перезвоним

    Заказать бесплатный пробный доступ к КонсультантПлюс






      Заказать бесплатный пробный доступ к КонсультантПлюс

        Обратная связь

          Протестируйте КонсультантПлюс

            Чтобы получить прейскурант по почте, заполните форму и нажмите кнопку «Отправить».

              Заказать подборку по данной теме

                Регистрация на конкурс

                Только администратор может добавлять новых пользователей.

                Заказать видео

                  Записаться на мероприятие

                    Записаться на курс

                      Заказать документ

                        Что для Вас идеальные условия труда?