Порядок обработки персональных данных

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений –  это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН. 

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

  • работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности; 
  • следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
  • работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
  • чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
  • вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию. 

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн

Общий перечень

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

  1. Перечень ПД, подлежащих защите в информационных системах, согласно установленному ФЗ от 27.06.2006 года № 152 «О персональных данных».
  2. Приказ о назначении ответственных сотрудников за организацию обработки ПД и перечне мер по их защите.
  3. Список конфиденциальных сведений. В нем следует указать, что он разработан согласно закону «О персональных данных». Все виды категорий можно выполнить в виде таблицы.
  4. Инструкция администратора по безопасности. Назначается приказом руководителя. В документе следует перечислить должностные обязанности.
  5. Список помещений, где проводится обработка ПД.
  6. Приказ об утверждении мест хранения ПД.
  7. Проект информационной системы ЗПД.
  8. Инструкция пользователей системы ПД. Определяет обязанности тех, кто ведет работу с ПД.
  9. Порядок восстановления и резервирования работы программного обеспечения, технических средств, средств защиты информации и баз данных.
  10. Приказ по уничтожению ПД специальной комиссией. После выполненной обработки ПД необходимо уничтожить.
  11. Приказ об эксплуатации информационной системы, заключение о вводе в эксплуатацию.
  12. План внутренних проверок режима ЗПД. План рекомендовано выполнить в виде таблицы с указанием периодичности проверок оборудования и режима.
  13. Журнал учета действий по контролю данных. В таблицу можно записывать проводимые мероприятия.
  14. Журнал учета носителей информации.
  15. Журнал учета обращений субъектов ПД о выполнении их законных прав.
  16. Положение о правах доступа к обрабатываемым личным данным.
  17. План проведения внутренних проверок защищенности персональных данных.
  18. Акт классификации системы. Это база данных с личной информацией, где следует указать:
    • категории персональных данных;
  19. кем используется система;
  20. режим и объем обрабатываемой информации;
  21. тип и структуру системы;
  22. расположение технических средств;
  23. подключение к другим сетям связи.
  24. Правила обработки без применения автоматизированных средств.
  25. Инструкция по организации защиты пароля и антивирусного контроля.
  26. Форма акта по утилизации документов, содержащих личную информацию.
  27. Журнал тестирования средств информационной защиты.
  28. Журнал по проведению инструктажа по безопасности системы.
  29. Журнал учета технических средств защиты информации.
  30. Приказ о списке сотрудников, допущенных к обработке конфиденциальной информации.
  31. Инструкция при возникновении внештатных ситуаций по обеспечению безопасности.
  32. Соглашение о неразглашении с перечислением всех сведений, которые не подлежат разглашению. Должен подписывает каждый, кто имеет доступ к личным данным.
  33. Положение о защите ПД от несанкционированного доступа. Права и обязанности оператора, понятия из законодательства, цели и основания для обработки, ответственность за разглашение и внутренний доступ.
  34. Модель угроз безопасности. Совокупность условий, создающих опасность несанкционированного доступа, в результате чего может произойти копирование, изменение, уничтожение, блокирование, распространение личной информации.
  35. План действий по обеспечению безопасности. Указываются сроки, установка паролей и антивирусной программы, внедрение обновлений и доработок.
  36. Форма ответа на запрос ПД.

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в отдельном материале.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

  Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Условия и принципы обработки персональных данных по 152-ФЗ

Главные тезисы процесса обработки по № 152- ФЗ «О персональных данных» — законность и справедливость. Регламент жестко требует соответствия целей характеру обрабатываемых данных:

Заранее определите конечные задачи обработки ПДн, совпадающие с законодательными установками. Все действия с личными сведениями прекращаются по достижении намеченного результата. Если обработка персональной информации противоречит или не совпадает с целью сбора данных — она незаконна.
Если обрабатываются разнородные массивы сведений с разными задачами, их интеграция недопустима.
Непозволительно собирать чрезмерное количество персданных относительно задекларированной цели

Важно соблюдать соразмерность сути и объема ПД в сравнении с объявленным результатом.

Необходимо соблюдение точности — закон 152-ФЗ указывает, что количество сведений должно быть достаточным для работы. Требование актуальности ПДн относительно цели соблюдайте при необходимости.

Если по форме ПДн можно установить субъекта, закон требует хранить такие сведения не дольше, чем требуется для получения результата их обработки. Это условие устанавливается, если отдельным законом, договором, в котором владелец ПД поручитель, выгодоприобретатель или сторона не определено другое время хранения.

Важно!Когда результат обработки конфиденциальных сведений о субъекте достигнут или потребность в дальнейших операциях отпала, искомые сведения уничтожают или обезличивают.

Статья, устанавливающая принципы обработки — ст. 5 закона 152-ФЗ о персональных сведениях.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)? Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)? У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е

вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Что содержит пакет сопровождающей документации?

В поле деятельности операторов входят различные операции с информацией. Это обработка, сбор, хранение, защита, передача и разглашение идентификационных данных.

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД – Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации – Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД – Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки – Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных – Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД – Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД – Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей – Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

Документы, регулирующие защиту персональных данных:

  • Приказ о назначении комиссии – Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите – Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты – Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите – Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности – Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных – Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

Бумаги, касающиеся передачи персональных данных:

  • Регламент по трансграничной передаче информации – Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам – Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам – Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Обязательство о неразглашении – обязательство, которое подписывается при приеме на работу новым сотрудником. Регламентирует его ответственность за обработку и разглашение ПД.

Роскомнадзор – это структура с широким спектром полномочий и обязанностей, а персональные данные – довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись

Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Правовая основа

Заключая трудовой договор (ТД) с работником, руководство предприятия получает от него персональные данные, в том числе:

  1. Ф.И.О.
  2. Адрес прописки и место фактического нахождения.
  3. Паспортные реквизиты.
  4. Номер ИНН и СНИЛС.
  5. Наличие детей, с датами их рождения.
  6. Семейное положение.
  7. Данные о предшествующей работе, со сроками и причинами отчисления.

В соответствии ст. 86-90 ТК РФ предприятие обязано соблюдать правила:

  • Обработки личных данных своего персонала.
  • Хранения и пользования полученными сведениями.
  • Передачи персональных сведений сотрудников.

На основании закона № 152-ФЗ от 27.07.2006 года «О персональных данных» работники имеют право требовать защиту своих личных данных. Для обеспечения нераспространения этих данных, руководство предприятий разрабатывает Положение, где обозначается:

  • Какие данные относятся к персональным.
  • Кто обладает правом доступа к ним и основания.
  • Как обеспечивается сохранность полученных данных.
  • Порядок обработки информации.
  • Где хранятся данные о сотрудниках.
  • Защита доступа к данным.

В разработанном положении могут отображаться образцы заявлений сотрудников:

  • О согласии обработки своих персональных данных.
  • О согласии получения добавочных данных о сотруднике.

Данное типовое положение по распоряжению руководителя компании может быть разработано:

  • Кадровиком.
  • Юристом предприятия.
  • Заместителем директора.

Приказ об утверждении данного Положения относится к внутриведомственному распорядительному документу, структура которого обязана соответствовать действующим законодательным нормам РФ. С содержанием приказа должен быть ознакомлен весь персонал предприятия.

(Видео: “Ошибки, которые могут дорого обойтись оператору персональных данных”)

Кому и зачем нужен приказ о персональных данных?

Приказ о защите персональных данных нужен руководству предприятия, так как этого требует закон № 152-ФЗ от 27.07.2006 года «О персональных данных». Данное распоряжение определяет обязанность должностных лиц в обеспечении конфиденциальности личных сведений о сотрудниках и уровень их допуска.

Утвержденного стандартного шаблона такого приказа нет, поэтому, документ составляется в произвольном стиле. Однако, согласно законодательству РФ, данный приказ обязан содержать определенные пункты для обеспечения защиты личных сведений, в том числе:

  1. Утверждение положения о защите и обработке персональных сведений.
  2. Закрепление ответственного работника за обеспечение обработки личных сведений.
  3. Установление лиц, которые допущены к сбору, хранению и обработке данных.

Согласие субъекта на обработку

Трудоустройство человека напрямую связано с подачей личной информации работодателю. На этапе оформления на работу эта информация включает в себя ФИО, возраст, адрес проживания и прописки, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле сотрудника появляются такие документы, как приказ о приеме на службу, трудовой контракт, трудовая книжка, документы об окладе и заработной плате.

Каждый работодатель при заключении трудового договора с работником становится обладателем его персональных сведений.

По требованиям федерального законодательства, если на предприятии происходит обработка ПДн сотрудников, необходимо иметь согласие каждого из них на выполнение действий с личными данными.

Однако закон предусматривает и исключения из этого требования:

  • если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в том случае, когда согласие его получить невозможно). Такое исключение позволит производить обработку ПДн без согласия только непродолжительный период времени;
  • если имеется договор с родственником лица, и в пользу этого лица осуществляется данный договор. Если совершенно нет возможности получить разрешение субъекта – этот выход будет единственным решением вопроса, например, при проверке Роскомнадзором.

Вышеуказанные исключения относятся только к общей категории личных данных. Для работы с конфиденциальными данными, такими как политические и религиозные взгляды, обязательно требуется согласие субъекта.

Защита ПД от несанкционированного доступа

  • управление доступом к ПД, регистрация и учет всех действий с этими данными;
  • обеспечение целостности персональной информации;
  • применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
  • создание межсетевого экрана;
  • анализ защищенности и принятие мер по ее усилению;
  • обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Запасаемся бумагами

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные. Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников. Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации

Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность

Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании). В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите. С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector