На протяжении последних шести лет законодатель неоднократно обращал внимание на вопрос защиты персональных данных граждан России. За это время был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, регулирующий вопрос защиты персональных данных работника, введен ряд подзаконных нормативных актов, которыми каждый участник отношений, возникающих при передаче персональных данных, должен руководствоваться.
Повышенный интерес государства к нормативному обеспечению защиты персональных данных обусловлен большим количеством случаев мошенничества со стороны недобросовестных операторов, работающих с персональными данными и допустивших утечку этой информации и последующее ее незаконное использование преступниками.
Таким образом, в продолжение «линии защиты» в декабре 2009 года был утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630), который вступил в силу 26 марта 2010 года.
Принятие и введение в действие указанного выше Регламента фактически означает готовность государства перейти от нормативного регламентирования вопросов защиты персональных данных к активным «военным» действиям, а именно к проведению проверок в целях выявления нарушений требований действующего законодательства и применения мер ответственности к операторам.
Прежде чем перейти к «подготовительной» работе, необходимо определить, к какой категории относится ваша организация:
Далее, с учетом правового положения вашей организации и руководствуясь действующим законодательством, необходимо принять следующие меры.
В главе 14 Трудового кодекса прямо указывается на обязательное наличие на каждом предприятии внутреннего локального нормативного акта, регулирующего порядок использования и хранения персональных данных (ст. 87 ТК РФ).
Как правило, этим документом служит Положение о защите персональных данных работников (далее – «Положение»), но в целом допустимо включить соответствующий раздел в состав Правил внутреннего трудового распорядка.
Целью этого документа является задача определить меры защиты персональных данных работников при обработке таковых, условия их хранения, условия допуска сотрудников компании к таким данным, права и обязанности работников и работодателя по отношению к вопросу использования персональных данных каждого конкретного работника.
Безусловно, все вышеуказанные условия работы с персональными данными должны быть определены в строгом соответствии с ТК РФ, законом «О персональных данных» и требованиями подзаконных нормативных актов, перечень которых приведен выше.
Поскольку этот локальный нормативный акт является обязательным для каждого работодателя, а ТК РФ содержит прямое указание на право работников участвовать в разработке системы обеспечения гарантий, связанных с защитой персональных данных, естественно, необходимо ознакомить каждого работника, занятого на предприятии, с этим документом. Более того, в соответствии со статьей 68 ТК РФ каждый принимаемый на работу кандидат также должен быть ознакомлен с условиями обработки его персональных данных еще до заключения с ним трудового договора.
Документом, подтверждающим ознакомление работников с Положением, может быть либо отдельная расписка работника, форма которой должна быть указана как неотъемлемая часть Положения, либо можно использовать иные способы ознакомления работников с локальными нормативными актами (далее – «ЛНА») организации, которые применяются у конкретного работодателя (например: журнал ознакомления с ЛНА, лист ознакомления с ЛНА и т. п.).
Также в Положении необходимо определить перечень должностных лиц организации, имеющих доступ к персональным данным работников (разумеется, в целях исполнения своих должностных обязанностей) и предусмотреть форму документа, (например, «Соглашения о не разглашении»), которую каждый из таких должностных лиц должен будет подписать в подтверждение понимания своей ответственности в случае разглашения рассматриваемой информации. При составлении перечня лиц, допущенных к информации такого характера, надо указать не только рядовых работников – исполнителей (таких как менеджер по персоналу, сотрудники бухгалтерии, юристы), но и вписать руководителей подразделений вашей компании, включая генерального директора предприятия.
В качестве дополнительной рекомендации, в целях исполнения требований ТК РФ в части использования персональных данных работников в коммерческих целях, которые не допускают такое использование без согласия работника, можно включить перечень случаев использования и объем используемой информации в Положении (например: в целях предоставления информации для участия в торгах, подготовки коммерческого предложения, рекламы компании на сайте и т. д.).
Таким образом, предлагая работникам ознакомиться с ЛНА, вы заранее им сообщаете и получаете их согласие на использование их персональных данных в коммерческих целях компании.
Говоря о технической стороне организации защиты персональных данных работников, тем же законом, изданным в 2009 году, который предоставил отсрочку, были внесены изменения в закон «О персональных данных», упраздняющие обязанность операторов по защите персональных данных с обязательным использованием шифровальных (криптографических) средств (Закон от 27 декабря 2009 г. № 363-ФЗ).
Тем не менее обязанность по обеспечению безопасности персональных данных при их обработке и по защите от несанкционированного доступа третьих лиц при организации хранения персональных данных четко определена действующим законодательством. Следовательно, каждому оператору – работодателю необходимо обеспечить технические средства защиты, такие как: наличие сейфов с кодами доступа (и/или шкафов, запирающихся на замок, и/или отдельных помещений, закрывающихся на ключ или соответствующий код – для персональных данных, обрабатываемых без использования средств автоматизации). Информация о кодах или доступ к ключам должен быть только у допущенных к работе с персональными данными лиц.
В свою очередь персональные данные, которые обрабатываются в информационных системах (фактически это все базы данных, хранящиеся на серверах или в системных блоках компьютеров с использованием или без специализированных программ), также должны быть защищены с задействованием различных методов, в том числе таких, как:
В итоге для готовности каждого оператора – работодателя к возможным проверкам на соответствие требованиям законодательства в области защиты персональных данных работников в будущем году необходимо иметь рабочую систему защиты персональных данных, содержащихся как на материальных носителях без средств автоматизации, так и в информационных системах, регламентированную с соответствующим ЛНА, разработанным с учетом действующего законодательства исключительно на основании технических ресурсов вашей организации.
В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:
В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей. Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).
Возвращаясь к Административному регламенту проведения проверок Роскомнадзором, надо учесть, что проверочные мероприятия могут быть как плановые, так и внеплановые.
При этом плановые проверки будут назначаться как в отношении операторов, включенных в реестр, так и операторов, не включенных в реестр, но осуществляющих обработку персональных данных.
В свою очередь внеплановые проверки возможны в случае нарушений в области обеспечения защиты персональных данных операторами, информация о которых может быть получена проверяющим органом не только в ходе проведения плановых проверочных мероприятий, но и в случае получения соответствующей информации от третьих лиц, например, от работников предприятия, государственных органов, осуществляющих смежные контрольные функции.
Юлия Лабутина, эксперт журнала "Расчет"
Сколько должен длиться перерыв на обед при 12-часовой смене
Как определять выручку, если исполнитель не подписывает акт сдачи-приемки работ?
Как исчислять страховые взносы при реорганизации в форме присоединения
Проводки по корректировке в учете расхождений по ЕНС
Выгода по беспроцентному займу снова облагается НДФЛ в 2024 году
Комментарии (0)
Оставить комментарий