Garant-blok.ru

Гарант Блок
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных что нужно знать организациям?

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

  • паспортные данные;
  • семейное положение;
  • сведения об образовании;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

  • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, email, ссылка на профиль в социальной сети и т. д.

Читать еще:  Заявление На Отказ От Приватизации Квартиры Образец

Понятие обработки ПДн

Совместно с подачей требуемых документов во время подписания трудового договора работник должен предоставить свое согласие на обработку ПДн.

Статья 2 закона о персональных данных относит к такой информации о физическом лице его ФИО, дату рождения, иные сведения, включая записи в трудовую книжку. Персональные данные разделены на три категории.

К первой относится общедоступная информация, которая состоит из основных анкетных данных (ФИО, дата, место рождения, половая принадлежность). Следующая группа ПДн – биометрические данные, состоящие из сведений о внешности и отдельных физиологических параметрах, если их можно определить визуально, и др. К специальным сведениям относят данные о национальности, религии, работе, наличии судимости и пр.

ПДн относятся к разряду конфиденциальных сведений, кроме общедоступных. В связи с этим обрабатывать их можно только в случае получения разрешения физлица.

Обязательным является условие установления срока действия такого согласия на обработку ПДн. Окончательным сроком, позволяющим совершать какие-либо действия с персональной информацией, может считаться конкретное число или событие (окончание срока действия трудового договора, выполнения каких-либо договорных обязательств и др., отзыв работником ранее данного согласия) – статья 9 ФЗ № 152, п. 4.

Защита персональных данных в организации: пошаговая инструкция

Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены п. 6 Правительственного Постановления № 1119 от 01.11.2012.

Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.

Разработать Положение о персональных данных, включив раздел об их защите.

Назначить сотрудника, который будет отвечать за работу с ПД.

Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.

Подготовить образцы расписок о неразглашении ПД.

Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе.

Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.

Нарушения хранения персональных данных

Все манипуляции, ставящие под угрозу конфиденциальность персональных данных, предполагают соответствующее масштабу ущерба наказание. Это может приводить к широкому спектру мер, начиная с административной ответственности и заканчивая уголовной.

Читать еще:  Сроки отчетности за 4 квартал 2021

Подробный перечень оснований для привлечения к тому или иному виду ответственностью представлен в статье 13.11 КоАП РФ.

Наиболее часто встречающиеся нарушения:

  • Обработка персональных данных, не совместимая с целями сбора информации;
  • Обработка без согласия субъекта данных;
  • Обработка в не предусмотренных законом случаях.

Вышеперечисленные нарушения могут повлечь штраф до 75 тысяч рублей для юридического лица. Присутствует риск привлечения к уголовной ответственности.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Защита

Каждый работодатель должен обеспечивать сохранность личных данных работников. Сведения должны быть надежно защищены от утери либо использования во внеправовых целях или людьми, которые не имеют никакого отношения к этой информации.

Человек имеет полное право знать, какие меры принимает организация, чтобы обеспечить персональным данным должную защиту.

Правовая

Чтобы персональные сведения были строго конфиденциальны, работодатель обязан принимать ряд технических, организационных и правовых мер. Во время обработки сведений необходимо применение криптографических средств для защиты от неправомерных действий, случайного доступа к информации третьих лиц.

Технические меры, благодаря которым осуществляется обработка персональных данных — это
информационно-вычислительные комплексы, средства изготовления и тиражирования документов, системы звукозаписи, переговорные и телевизионные устройства, операционные системы.

Если на предприятии или организации не ведется работа по этому направлению, то вся системы защиты личных данных будет абсолютно неэффективна.

Организационные. К персональным данным доступ должен быть ограничен для
неуполномоченных лиц, работодатель обязан об этом позаботиться. Нужно провести обучение, а потом проверить знания по организации работы с личными данными.

Во внутреннем приказе по предприятию следует предусмотреть, с какой периодичностью должны проходить занятия и аттестация по проверке знаний, а также последствия. Работодателю надлежит сформировать определенное структурное подразделение, которое бы осуществляло работу с персональными данными, обеспечивало их защиту.

Правовые. Необходимым условием является разработка списка сведений, которые будут
отнесены к персональным данным, которые будут считаться определенным видом тайны.

Читать еще:  Должностная инструкция бетонщика 3го разряда 2021 года

Правильной мерой будет разработать на каждом предприятии свои нормативные акты, которые будут регламентировать акцентируемые вопросы защиты личных данных.

А сама процедура принятия локального нормативного акта по защите сведений о сотрудниках и перечень определения мер этой защиты могут предусматриваться, например, в коллективном договоре или Инструкции по делопроизводству.

Механизм

Защита сведений должна быть обеспечена на любом технологическом этапе при обработке данных и в любом режиме функционирования. А сами средства защиты не должны слишком снижать быстродействие ЭВМ и его надежность.

Помещение должно всегда находиться под охраной, а к мерам инженерно-технического характера относятся его экранирование, создание помех.

Большую роль сыграет как защита информации вне техники, так и подбор трудящихся организации. ЭВМ должно отключаться при любых неправильных действиях пользователей или при попытке неразрешенного доступа.

Также необходимо ограждать данные от вирусов, уничтожать информацию при неутвержденном доступе, кодировать вводимую информацию.

Гарантии

Необходимо четко регламентировать функции сотрудников отдела кадров по различным типам документов, личных дел, листков учета. Никто из посторонних не должен знать, как происходит оформление, ведения и хранения документов, различные рабочие процессы.

Нужно разработать систему доступа сотрудников и руководителей к любому из документов, находящихся в отделе, а также ввести систему личной ответственности за сохранность персональной информации.

В случае отсутствия одного сотрудника, начальник отдела кадров издаст соответствующее распоряжение, согласно которому будут внесены определенные изменения, на какой срок они будут находиться в действии, разные дополнения к документам, базе данных.

Материалы, которые связаны с анкетированием или тестированием, правильно будет помещать в отдельное дело с грифом «Строго конфиденциально». Это связано с тем, что такие данные могут рассказать о личных и моральных качествах любого сотрудника, а при внезапном разглашении сведений стать просто необходимыми для злоумышленника.

Если документ выходит за пределы отдела кадров, на нем следует поставить гриф «конфиденциально» или «для служебного пользования».

В отделе кадров в обязательном порядке должны оставаться копии всей отчетной и справочной документации.

Вполне разумно и уместно, чтобы подлинники таких документов после того, как надобность в них окончится, возвратились в отдел кадров, чтобы их можно было прикрепить в дело вместо копии, которая там хранится.

Условия и запросы к защите персональных данных могут отличаться, что происходит из-за того, обрабатываются персональные данные в информационных системах или вне их, а также — используются ли средства автоматизации или нет.

Потому что только администрация на предприятии или организации может непрерывно проконтролировать соблюдение установленного порядка при осуществлении защиты персональных данных любого работника.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector