+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Защита персональных данных в организации

Содержание

Как происходит защита персональных данных на предприятии?

Защита персональных данных в организации

Вы здесь

Защита персональных данных в организации начинается с трудоустройства ее сотрудников (с заполнения ими анкеты), продолжается при осуществлении непосредственной деятельности. При заключении договоров или оказании услуг люди обязаны предоставить идентифицирующую информацию (серию и номер паспорта, ИНН, номер СНИЛС и пр.).

В рамках законодательства, вся полученная от граждан информация должна быть обработана, надлежащим образом сохранена и защищена от распространения без согласия их обладателя. Регламентирована защита персональных данных Законом 152-ФЗ от 27 июля 2006 г.

Под понятие обработки попадает получение информации, систематизация, дополнение, замена при необходимости (заключение о браке, о разводе, рождение детей и пр.). Получена она для того, чтоб ее использовать и даже распространять с согласия гражданина.

Хранение обеспечивается путем исключения без имеющегося на то разрешения владельца личной информации доступа, в результате которого она может быть скопирована, изменена, уничтожена, заблокирована и распространена.

Если получена информация для ее дальнейшей обработки, то выполнение этих действий служит основанием для ее уничтожения. Если необходимость в дальнейшем хранении отпадает, то информация также уничтожается.

Защита персональных данных на предприятии: с чего начать?

Защита персональных данных предприятия начинается с издания Приказа, обязательными реквизитами которого обязательно должны быть:

  • фамилия и инициалы сотрудника, который будет нести ответственность за проведение политики защиты индивидуальной информации;
  • должны быть перечислены обязательные документы, по вопросу защиты персональных данных;
  • утверждается состав и приводятся фамилии и инициалы членов комиссии по защите индивидуальной информации;
  • устанавливаются сроки на разработку и утверждение Положения по этому вопросу. Если Положение уже утверждено, то этим же приказом оно вводится в действие.

Когда полученная от гражданина информация не ограничивается кадровыми и трудовыми отношениями, а получена с целью обработки и предоставления услуги, то организация выступает оператором ПД (персональных данных).

После проведенного обследования на этот предмет должен ей быть присвоен класс информационной системы ПД, подтвержденный следующим пакетом документов по защите персональных данных:

  1. Отчет о проведенном обследовании;
  2. Приказ руководителя предприятия о том, что для присвоения класса информационной системе ПД создана комиссия;
  3. Акт, определяющий уровень защищенности ПД при их обработке.

Смотрите видео о защите персональных данных в организации.

Что делать организации после признания ее оператором ПД?

Факт признания организации оператором подтверждается направлением документа в организацию, контролирующую защиту персональных данных. В каждом федеральном округе существует надзорная организация, уполномоченная вести контроль операторов.

На официальной странице организации заполняется специально разработанная форма уведомления, которое надлежит в оригинале отправить посредством почтовой связи.

Далее следует деятельность по разработке для обязательного применения в дальнейшем двух документов.

Каждый гражданин, обратившийся за услугой в организации перед предоставлением личных данных, обязательно подписывает согласие на их обработку и хранение. Вот такой бланк и должен быть разработан.

Второй документ это согласие отменяет. Мало, кто знает, но после получения услуги такой документ можно требовать и подписывать, отзывая данное ранее согласие.

Федеральный закон 152-ФЗ о защите персональных данных дает 30 дней организации, чтобы уничтожить полученные данные. Исключительными случаями остаются действия, направленные на совершение правосудия и защиту жизни.

В таких случаях личная информация не уничтожается даже после получения отзыва.

В дальнейшем происходит внедрение разработанной системы. Для этого определяется ограниченное число лиц. Они в дальнейшем будут иметь доступ ко всей полученной информации для обработки.

Читайте о правовых последствиях незаконного увольнения сотрудника.
А также о том, как написать краткую характеристику.

На предприятии должен быть официально утвержденный перечень тех данных, что у обратившегося за услугой гражданина имеют право быть запрошены. Выходить за рамки списка работники организации не могут.

Каждый сотрудник ставит подпись в листке ознакомления к Положению об этом, принимает на себя обязательство сохранять полученные данные. Руководство обязано обеспечить сотрудника помещением, где будет проводиться обработка ПД.

Защита персональных данных: перечень документов

Документами, подтверждающими установление защитной системы ПД, являются:

  1. Описание внедренной системы с тремя инструкциями (администратора, пользователя и создания резервной копии).
  2. Положение, разграничивающее права доступа к личной информации во внедренной системе.
  3. Документы по применяемым защитным средствам, в том числе журналы учета эл. носителей, акты установки, списания и уничтожения носителей и бумажных документов. Если предприятие ведет дела с другими организациями и передает информацию им, то соглашения о неразглашении личной информации с ними тоже должны быть.
  4. Заключение о том, что установленная система защиты соответствует нормам.

Каждая организация, получившая статус оператора обязана вести журнал учета, фиксирующий каждый случай обращения за защитой предоставленных данных с целью обработки. Защищая личную информацию гражданина при ее обработке, реализуется его Конституционное право не только на частную жизнь, но и на личную тайну и тайну семьи.

Все больше организаций получает статус оператора, организующего и осуществляющего обработку личной информации. Даже на сайтах защита персональных данных, а вернее ее отсутствие, предусматривает ответственность за невыполнение требований федерального закона по принятию мер защиты личной информации.

Источник: https://www.rutvet.ru/kak-proishodit-zashchita-personalnyh-dannyh-na-predpriyatii-10969.html

Меры по защите персональных даных сотрудников

Защита персональных данных в организации

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

•  список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.

Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: http://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

Защита персональных данных сотрудников — как обеспечить?

Защита персональных данных в организации

В 7 статье Федерального закона от 27.07.2007 № 152 ФЗ «О персональных данных» (далее — 152-ФЗ), ст. 88 Трудового кодекса РФ, указано, что работодатель обязан не допускать раскрытия персональных данных (не сообщать персональные данные) своих сотрудников третьим лицам. За нарушение этого требования предусмотрены:

  • Дисциплинарная ответственность. Применяется к сотрудникам, которые нарушили правила работы с личными данными (ст. 192 Трудового Кодекса). Вплоть до увольнения;
  • Материальная ответственность. Если нарушение правил работы с персональными данными привело к причинению прямого ущерба (ст. 233 ТК РФ);
  • Административная ответственность. Штрафы, накладываемые контролирующим органом (ч.1ст.13.11. КоАП РФ):
  1. 5000-10000 рублей для ответственного должностного лица;
  2. 30000-50000 рублей для организации.

Штраф может быть разным в зависимости от состава правонарушения (ст.13.11 КоАП РФ из 7-ми частей. Размер штрафа приведёт по части 1).

За соблюдением требований законодательства в области защиты персональных данных следит Роскомнадзор (ст.23.44 КоАП РФ, Постановление Правительства РФ от 16.03.

2009 N 228), поэтому, чтобы не было проблем с проверками из этого ведомства, нужно позаботиться о защите персональных данных сотрудников вашей организации.

Какие сведения относятся к персональным данным сотрудников?

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Точного перечня 152-ФЗ не содержит. 

Исходя из определения 152-ФЗ это, в частности:

  • ФИО;
  • Дата и место рождения;
  • Адрес (прописки и фактического проживания);
  • Образование;
  • Социальное, семейное и имущественное положение;
  • Профессия;
  • Доходы;
  • Прочая информация (например, сведения о здоровье).

Что нужно сделать, чтобы не было проблем с Роскомнадзором?

Вам нужно будет проследить за следующими основными моментами:

1. Соблюдение законодательства в области персональных данных

В первую очередь, помимо 152-ФЗ, это положения гл. 14 ТК РФ . 

2. Документы, устанавливающие нормы работы с персональными данными

Согласно статье 87 Трудового Кодекса, в организации должны быть локальные нормативные акты, регулирующие порядок хранения и использования персональных данных работников.

Это Положение об обработке и защите персональных данных» – документ, в котором указаны цели и законные основания работы с персональными данными, ваши права и обязанности, права и обязанности сотрудников, предоставляющих данные.

Также сотрудники, так или иначе имеющие доступ к персональным данным работников организации должны подписать обязательство о неразглашении персональных данных. 

Также нужно назначить администратора безопасности персональных данных (сотрудника, отвечающего за техническую безопасность) и ответственного за организацию обработки данных (организационная нагрузка). Назначаются они приказом руководителя организации, особое внимание уделяйте точности формулировок – сверяйтесь с законодательством.

ВАЖНО: В каждом кабинете, где ведётся работа с персональными данными на бумажных носителях, должно быть чётко установленное место хранения этих данных. Это может быть сейф, стеллаж, шкаф.

Также должен быть ответственный за хранение персональных данных именно в этом кабинете.

Издаётся соответствующий приказ руководителя: «В кабинете №1 ответственным за хранение персональных данных назначить ФИО, место хранения утвердить стеллаж инв. Номер 00000».

3. Журналы

При проверке сотрудники Роскомнадзора – для того, чтобы убедиться, что деятельность по защите персональных данных ведётся на постоянной основе – требуют:

  • Журнал учёта мероприятий по контролю над обеспечением защиты персональных данных;
  • Журнал инструктажа по информационной безопасности (за технической стороной следит ФСТЭК России, Роскомнадзор больше будет интересоваться документами     и организационными вопросами);
  • Журнал учёта проверок юридических лиц контролирующими органами;
  • Журнал учёта обращений граждан-субъектов персональных данных о выполнении их законных прав.

4. Получение согласия работников на обработку персональных данных

Если не заключено дополнительное соглашение, персональные данные работника можно получать только у него самого. Например, нельзя даже позвонить в организацию, где сотрудник работал раньше, чтобы уточнить мнение о нём, без письменного согласия самого сотрудника.

Поэтому мы рекомендуем при приёме на работу предлагать сотруднику заполнить анкету с пунктом «Не возражаю против получения данных обо мне в…» и список организаций, в которые можно обратиться. Не лишним будет также указать «Не возражаю против проверки предоставленных данных».

ВАЖНО: Если у вас запрашивают персональные сведения о ваших работниках или бывших работниках, ни в коем случае не предоставляйте их без ознакомления с письменным согласием субъекта! Официальным органам – например, сотрудникам полиции – данные предоставляются по письменному запросу или после предъявления служебного удостоверения сотрудника и приказа, в котором указаны цели сбора сведений.

Общие рекомендации по защите персональных данных сотрудников

Следите за тем, чтобы:

  • Сотрудники организации – например, отдела кадров – получали доступ только к тем данным, которые необходимы для выполнения их должностных обязанностей;
  • Данные использовались строго в соответствии с целями, указанными в «Положении»;
  • Каждый сотрудник организации подписал согласие на обработку персональных данных (при договорных отношениях оно не требуется, но остаётся актуальным для специальных категорий персональных данных, а также снимает многие вопросы у проверяющих).

Следуйте советам, указанным в этой статье, аккуратно оформляйте все документы, и проблем с проверками Роскомнадзора у вас не будет.

Источник: https://Osnova.capital/blog/zashchita-personalnyh-dannyh-sotrudnikov-kak-obespechit

Закон о защите персональных данных — права и ответственность

Защита персональных данных в организации
» Персонал » Отдел Кадров » Что гласит закон о защите персональных данных

Работу с индивидуальными сведениями сотрудников регулирует закон о защите персональных данных (Полное название Федеральный Закон «О персональных данных») и Гражданский Кодекс Российской Федерации.

Обладая конфиденциальными сведениями о наемном работнике, работодатель обязан, помимо всего, обеспечить их сохранность в соответствии с законом.

Чтобы более подробно разобраться в данном вопросе, начнем, как говорится, «от печки» — для начала рассмотрим перечень персональных данных, подлежащих защите.

Перечень персональных данных подлежащих защите

Оформляя трудовые отношения с новым сотрудником, работодатель собирает и обрабатывает его персональные данные. Под персональными подразумеваются индивидуальные сведения о конкретном человеке. В том числе:

  • личностная информация: ФИО, возраст, половая принадлежность, фотоизображение;
  • сведения о полученном образовании и профессиональных навыках;
  • национальность и расовая принадлежность;
  • отношение человека к наркотическим, алкогольным, психотропным веществам;
  • сведения об этапах прошлой жизни (служба в рядах вооруженных сил, отбывание наказания, предыдущие места работы и т.п.);
  • принадлежность к политическим и религиозным течениям;
  • материальное положение;
  • сведения о месте проживания;
  • информация о родственных связях и семейном положении;
  • оценивающая характеристика личности;
  • данные о физическом и психическом состоянии сотрудника и его сексуальной ориентации;
  • наличие хобби, увлечений.

Получив необходимые сведения о своем сотруднике, наниматель обязан, согласно Федеральному Закону о защите персональных данных, обработать и сохранить их. Обрабатывая индивидуальные данные сотрудников, руководитель предприятия должен соблюдать некоторые правила, предусмотренные законом:

  1. Собирать и обрабатывать можно только те сведения личного характера, которые влияют на эффективность сотрудничества в рамках трудовых отношений, более качественное выполнение трудовых обязанностей и сохранение жизни и здоровья наемного работника.
  2. База данных работника складывается из информации, полученной от самого сотрудника и от сторонних лиц. Запрос сведений у третьих лиц может быть осуществлен только с согласия самого работника, оформленного в письменном виде.
  3. Сведения о вероисповедании, принадлежности к каким-либо политическим течениям, личной жизни, не могут быть материалом для обработки по месту трудоустройства.
  4. Также не обрабатывается информация о принадлежности к профсоюзным организациям и прочим объединениям.
  5. Запрещается принимать решения, ущемляющие личные права наемного рабочего, на основе автоматизированных или электронных данных.
  6. Обязанность по организации защиты персональных данных на предприятии лежит на работодателе.
  7. Руководитель предприятия обязан издать приказ о защите персональных данных своих сотрудников. Образец данного документа приведен ниже.
  8. Сотрудник под роспись знакомится с порядком обработки его индивидуальных сведений.
  9. В целях защиты своих персональных данных и на основе трудового права работник может не передавать нежелательную для него информацию.

Организация защиты персональных данных на предприятии

При обработке и использовании персональных данных своих сотрудников, у работодателя появляются обязанности:

  • не распространять полученные сведения;
  • предоставлять допуск к конфиденциальной информации только уполномоченным на то представителям;
  • какую-либо передачу информации осуществлять только с согласия ее владельца, оформленного в письменном виде.

Помимо прочего, работодатель не имеет права собирать и обрабатывать информацию, не относящуюся к выполнению трудовых обязательств сотрудника.

Относительно вопроса об индивидуальных сведениях работников в Трудовом Кодексе РФ есть статья 89 о защите персональных данных.

Согласно закону РФ о защите персональных данных, работник имеет право:

  • знать, как обрабатывается и хранится информация о его личности;
  • иметь доступ к базе своих персональных сведений;
  • вносить изменения в информационную базу, если таковые имеют место быть;
  • защищать свое право в судебных заседаниях в случае нарушения работодателем положений о защите персональных данных;
  • иметь представителей по защите своих прав.

Приказ о защите персональных данных образец

Защита персональных данных работника — трудовое право

К защите индивидуальных сведений граждан наше законодательство подошло очень серьезно. Нарушение права по защите личных данных, предусмотренное Конституцией РФ, карается законом. В первую очередь, наказаны будут лица, допустившие нарушения прав работника, а также и руководитель данного предприятия.

Уполномоченный сотрудник, который нарушил закон «О персональных данных», воспользовавшись своим служебным положением, подвергается наказанию в виде:

  • денежного штрафа в размере 100 000 – 300 000 рублей;
  • материального взыскания, составляющего сумму дохода за 12-24 месяца;
  • содержания под стражей до 0,5 года;
  • запрета занимать определенные должности.

Также, согласно статье 137 УК РФ, лица, виновные в распространении охраняемых законом сведений, несут ответственность в виде:

  • денежного штрафа в размере до 200 000 рублей;
  • материального взыскания, составляющего доход за 1,5 года;
  • от 120 до 180 часов обязательных работ;
  • выполнения исправительных работ сроком до 12 месяцев;
  • заключения под стражу до 4 месяцев.

Помимо всего, сотруднику, разгласившему охраняемую информацию, будет вынесен выговор, либо произойдет перевод его на другую должность, а возможно и увольнение.

Отстаивать права о защите своих индивидуальных сведений гражданин будет в судебном заседании. Доказав нарушения норм законодательства относительно персональных данных, работник может рассчитывать на возмещение материального и морального ущерба.

Поделитесь своим комментарием

Источник: https://ktovdele.ru/zaschite-personalnyih-dannyih.html

Создание системы защиты персональных данных

Защита персональных данных в организации

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.