Как хранить персональные данные работников

17.02.2016 распечатать

Компании проверяются на предмет правильного хранения и обработки персональных данных сотрудников. Мы подготовили практические рекомендации по приведению деятельности компаний в соответствие с требованиями закона и подготовке к возможным проверкам.

В год грядущий – во всеоружии

На протяжении последних шести лет законодатель неоднократно обращал внимание на вопрос защиты персональных данных граждан России. За это время был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, регулирующий вопрос защиты персональных данных работника, введен ряд подзаконных нормативных актов, которыми каждый участник отношений, возникающих при передаче персональных данных, должен руководствоваться.

Повышенный интерес государства к нормативному обеспечению защиты персональных данных обусловлен большим количеством случаев мошенничества со стороны недобросовестных операторов, работающих с персональными данными и допустивших утечку этой информации и последующее ее незаконное использование преступниками.

Таким образом, в продолжение «линии защиты» в декабре 2009 года был утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630), который вступил в силу 26 марта 2010 года.

Принятие и введение в действие указанного выше Регламента фактически означает готовность государства перейти от нормативного регламентирования вопросов защиты персональных данных к активным «военным» действиям, а именно к проведению проверок в целях выявления нарушений требований действующего законодательства и применения мер ответственности к операторам.

Готовимся к худшему – надеемся на лучшее

Прежде чем перейти к «подготовительной» работе, необходимо определить, к какой категории относится ваша организация:

  • исключительно оператор, обрабатывающий персональные данные в целях исполнения требований трудового законодательства (то есть в процессе трудовых отношений между работником и работодателем),и/или:
  • оператор, обрабатывающий персональные данные в ходе ведения обычной коммерческой деятельности (например: операторы сотовой связи; организации, проводящие анкетирование потребителей (физических лиц) в рекламных целях и/или в целях предоставления скидок и т. п.).

Далее, с учетом правового положения вашей организации и руководствуясь действующим законодательством, необходимо принять следующие меры.

Если вы оператор – работодатель

В главе 14 Трудового кодекса прямо указывается на обязательное наличие на каждом предприятии внутреннего локального нормативного акта, регулирующего порядок использования и хранения персональных данных (ст. 87 ТК РФ).

Как правило, этим документом служит Положение о защите персональных данных работников (далее – «Положение»), но в целом допустимо включить соответствующий раздел в состав Правил внутреннего трудового распорядка.

Целью этого документа является задача определить меры защиты персональных данных работников при обработке таковых, условия их хранения, условия допуска сотрудников компании к таким данным, права и обязанности работников и работодателя по отношению к вопросу использования персональных данных каждого конкретного работника.

Безусловно, все вышеуказанные условия работы с персональными данными должны быть определены в строгом соответствии с ТК РФ, законом «О персональных данных» и требованиями подзаконных нормативных актов, перечень которых приведен выше.

Поскольку этот локальный нормативный акт является обязательным для каждого работодателя, а ТК РФ содержит прямое указание на право работников участвовать в разработке системы обеспечения гарантий, связанных с защитой персональных данных, естественно, необходимо ознакомить каждого работника, занятого на предприятии, с этим документом. Более того, в соответствии со статьей 68 ТК РФ каждый принимаемый на работу кандидат также должен быть ознакомлен с условиями обработки его персональных данных еще до заключения с ним трудового договора.

Документом, подтверждающим ознакомление работников с Положением, может быть либо отдельная расписка работника, форма которой должна быть указана как неотъемлемая часть Положения, либо можно использовать иные способы ознакомления работников с локальными нормативными актами (далее – «ЛНА») организации, которые применяются у конкретного работодателя (например: журнал ознакомления с ЛНА, лист ознакомления с ЛНА и т. п.).

Также в Положении необходимо определить перечень должностных лиц организации, имеющих доступ к персональным данным работников (разумеется, в целях исполнения своих должностных обязанностей) и предусмотреть форму документа, (например, «Соглашения о не разглашении»), которую каждый из таких должностных лиц должен будет подписать в подтверждение понимания своей ответственности в случае разглашения рассматриваемой информации. При составлении перечня лиц, допущенных к информации такого характера, надо указать не только рядовых работников – исполнителей (таких как менеджер по персоналу, сотрудники бухгалтерии, юристы), но и вписать руководителей подразделений вашей компании, включая генерального директора предприятия.

В качестве дополнительной рекомендации, в целях исполнения требований ТК РФ в части использования персональных данных работников в коммерческих целях, которые не допускают такое использование без согласия работника, можно включить перечень случаев использования и объем используемой информации в Положении (например: в целях предоставления информации для участия в торгах, подготовки коммерческого предложения, рекламы компании на сайте и т. д.).

Таким образом, предлагая работникам ознакомиться с ЛНА, вы заранее им сообщаете и получаете их согласие на использование их персональных данных в коммерческих целях компании.

Говоря о технической стороне организации защиты персональных данных работников, тем же законом, изданным в 2009 году, который предоставил отсрочку, были внесены изменения в закон «О персональных данных», упраздняющие обязанность операторов по защите персональных данных с обязательным использованием шифровальных (криптографических) средств (Закон от 27 декабря 2009 г. № 363-ФЗ).

Тем не менее обязанность по обеспечению безопасности персональных данных при их обработке и по защите от несанкционированного доступа третьих лиц при организации хранения персональных данных четко определена действующим законодательством. Следовательно, каждому оператору – работодателю необходимо обеспечить технические средства защиты, такие как: наличие сейфов с кодами доступа (и/или шкафов, запирающихся на замок, и/или отдельных помещений, закрывающихся на ключ или соответствующий код – для персональных данных, обрабатываемых без использования средств автоматизации). Информация о кодах или доступ к ключам должен быть только у допущенных к работе с персональными данными лиц.

В свою очередь персональные данные, которые обрабатываются в информационных системах (фактически это все базы данных, хранящиеся на серверах или в системных блоках компьютеров с использованием или без специализированных программ), также должны быть защищены с задействованием различных методов, в том числе таких, как:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • другие методы и способы, полный перечень которых определяется приказом ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». 

В итоге для готовности каждого оператора – работодателя к возможным проверкам на соответствие требованиям законодательства в области защиты персональных данных работников в будущем году необходимо иметь рабочую систему защиты персональных данных, содержащихся как на материальных носителях без средств автоматизации, так и в информационных системах, регламентированную с соответствующим ЛНА, разработанным с учетом действующего законодательства исключительно на основании технических ресурсов вашей организации.

Если вы оператор-коммерсант

В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:

  • разработать и утвердить локальный нормативный акт, который определит не только способы обработки и условия хранения полученных персональных данных, но и цели, для которых вам таковые необходимы; при этом отдельное внимание надо уделить уничтожению полученной информации и обезличиванию;
  • при разработке методов и способов защиты персональных данных, обрабатываемых в информационных системах, придется особенно активно поработать с классификацией информационных систем, исходя из состава персональных данных, к которым такой оператор получает доступ, основываясь на приказе ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • в случае если при обеспечении защиты персональных данных в информационных системах будут применяться средства защиты с использованием шифрования (криптографии), то необходимо учитывать, что на основании статьи 17 Закона «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ ряд видов деятельности, связанных с обеспечением конфиденциальности информации, подлежат лицензированию;
  • в статье 22 закона «О персональных данных» закреплена обязанность за каждым оператором, который выступает в качестве такового, не только в связи с трудовыми отношениями, по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) о своем намерении осуществлять обработку персональных данных до начала их обработки. После такого уведомления в течение 30 дней оператор будет включен в реестр операторов. Однако этим же законом установлены случаи, в которых уведомление о предполагаемой обработке персональных данных не требуется.

В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей. Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).

К нам едет ревизор!?

Возвращаясь к Административному регламенту проведения проверок Роскомнадзором, надо учесть, что проверочные мероприятия могут быть как плановые, так и внеплановые.

При этом плановые проверки будут назначаться как в отношении операторов, включенных в реестр, так и операторов, не включенных в реестр, но осуществляющих обработку персональных данных.

В свою очередь внеплановые проверки возможны в случае нарушений в области обеспечения защиты персональных данных операторами, информация о которых может быть получена проверяющим органом не только в ходе проведения плановых проверочных мероприятий, но и в случае получения соответствующей информации от третьих лиц, например, от работников предприятия, государственных органов, осуществляющих смежные контрольные функции.

Юлия Лабутина, эксперт журнала "Расчет"

Выбор читателей

Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
Регистрируйтесь бесплатно.