Организация комплексных мер защиты персональных данных работников на предприятии: законодательное регулирование

Персональные данные человека находятся под серьезной защитой со стороны государства — ряд нормативных документов регламентируют строгий порядок обработки личной информации, а также меры ответственности за различные нарушения в этой сфере. Тем самым на законодательном уровне предусмотрен целый комплекс мер, направленных на защиту от посягательства на личную информацию граждан и неправомерного ее использования.

Дорогие читатели! Для решения именно Вашей проблемы — звоните на горячую линию или задайте вопрос на сайте. Это бесплатно.

8 (800) 350-31-84

Суть и механизм защиты персональных данных


Защита персональных данных граждан — это процесс, включающий в себя ряд технических и организационных мероприятий, направленных на реализацию всех законодательных требований и предписаний в сфере сбора, использования, передачи и хранения личных сведений, по которым происходит идентификация персоны. Обязанность по обеспечению всех мер возлагается на оператора персональных данных — организацию, которая занимается сбором, накоплением, использованием и хранением всей добровольно предоставленной физическими лицами информацией.

На практике защита личных сведений подразумевает организацию на предприятии регламента обработки персональной информации:

  • разработку специальных внутренних документов для обработки персональных данных;
  • организацию системы защитных мер от неправомерного использования личной информации с применением технических средств;
  • внутренний контроль выполнения всех мер защиты в соответствии законодательным предписаниям.
На реализацию контроля порядка обработки личных сведений операторами персональных данных уполномочены такие органы, как Роскомнадзор, Федеральная служба безопасности (ФСБ), а также ведомство в вопросах технического и экспортного контроля (ФСТЭК).

Что такое “конфиденциальность персональных данных”?

Согласно законодательным нормам, под конфиденциальностью персональных данных следует понимать обеспечение оператором, которому вверяется обработка личной информации, требования неразглашения персональных данных без подтвержденного разрешения самого субъекта такой информации в виде письменного согласия на ее обработку.

Какая информация относится к персональным данным работника?


В соответствии с Законом “О персональных данных” граждан, а также положениями Трудового кодекса РФ, персональными данными работника являются сведения, которые относятся к определенному физическому лицу и используются в трудовых отношениях с организацией-работодателем.

В данную категорию информации входят ФИО, дата и место рождения, адрес проживания и регистрации, образование и специальность, семейное положение, доходы, особенности здоровья и прочие сведения, потенциально фигурирующие в контексте реализации профессиональной деятельности.

Какие действия можно производить с персональными данными?

Компания-работодатель, выступающая оператором персональных данных, осуществляет сбор, накопление, систематизацию, передачу и хранение информации согласно нормам законодательства, а также использование полученных сведений исключительно в целях, связанных с реализацией договора и утвержденных в локальных документах на предприятии, регулирующих порядок информационного взаимодействия.

Что подразумевает передача персональных данных третьим лицам?

Передачей персональных данных третьим лицам является распространение оператором сведений стороне, которая не является участником трудовых правоотношений с субъектом персональных данных (или же — имеет косвенное отношение к субъекту).

Разглашение такой информации без письменного согласия субъекта — действие незаконное и подразумевает меры дисциплинарной и административной ответственности.

Чтобы передавать личные сведения стороннему лицу на законных основаниях, оператору необходимо:

  • иметь официальное разрешение субъекта персональных данных на обработку его личной информации третьим лицом в рамках реализации договорных отношений;
  • удостовериться в присутствии третьего лица в перечне операторов персональных данных, что гарантирует соблюдение им порядка конфиденциальности в обработке такой информации.

Кто имеет право запрашивать персональные данные?


Подавать запрос на предоставления персональных данных граждан без их письменного согласия могут ряд инстанций в соответствии с регламентированными целями такого сбора:

  • прокуратура и правоохранительные органы;
  • налоговые службы и военкоматы;
  • профсоюзы и государственные инспекторы, контролирующие соблюдение мер трудового законодательства;
  • третьи лица при наличии потенциальных угроз жизни и здоровью работника;
  • медучреждения при тяжелых несчастных случаях или смерти работника.

Законодательное регулирование сферы защиты персональных данных


Основным документом-регулятором большинства вопросов, связанных с защитой персональных данных является Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июля 2006 года), где изложены основные термины, принципы, правила и регламент обработки личной информации.

Основные положения Закона сводятся к следующим позициям:

  • строгое соответствие сбора и использования личной информации утвержденным оператором целям на основании согласия об обработке, предварительно полученного от гражданина;
  • недопустимость разглашения личных сведений сторонним лицам без письменного разрешения субъекта (за исключением законодательных требований);
  • соответствие информационных систем законодательным стандартам в сфере использования персональных данных;
  • право субъекта персональных данных на защиту личных прав и интересов в уполномоченных инстанциях, а также в суде.

Помимо Закона “О персональных данных”, законодательную базу в вопросах защиты личной информации работников на предприятии составляет Глава 14 Трудового кодекса РФ. В Статьях 85-90 ТК РФ изложены требования обработки персональных данных, порядок их использования, хранения и передачи, регламентированы права сотрудников на защиту сведений о себе.

Меры дисциплинарной, административной и даже уголовной ответственности за нарушение регламента обработки персональной информации, а также другие незаконные действия, повлекшие разглашение личных данных третьим лицам, декларируют Статья 90 ТК РФ, Статья 13.11 КоАП, а также Статья 137 УК РФ.

Ключевые правила обработки персональных данных в организации

Обработка персональной информации работников на предприятии должна осуществляться по ряду обязательных к выполнению правил:

  1. Подготовка и создание пакета документов, регулирующих порядок обработки, главными в котором являются Положение о защите личных сведений работников, согласие на обработку персональных данных, а также обязательство уполномоченного на работу с данными лица исключить возможность их несанкционированного разглашения.
  2. Ознакомление работников с Положением о защите личных сведений.
  3. Подписание согласия на обработку персональных данных.
  4. Использование и хранение информации в соответствии с целями, прописанными в локальных документах на предприятии.
  5. Обезличивание и уничтожение данных по достижению целей их обработки или по окончании срока действия договора.

Методы и способы защиты персональных данных


В рамках организации комплексной защиты личных сведений на предприятии оператор персональных данных должен обеспечить выполнение следующих задач:

  1. Создать разрешительную систему доступа уполномоченных на работу с данными сотрудников.
  2. Ограничить возможность доступа персонала к локации, где установлены технические средства обработки информации, в том числе и ее носители.
  3. Организовать процедуру регистрации всех действий персонала для предотвращения каких-либо несанкционированных акций.
  4. Организовать систему учета, накопления и хранения технических носителей информации, включающую в себя процедуру резервного копирования всех технических средств.
  5. Использовать соответствующие инструменты защиты массивов данных, включая защищенные каналы связи с целью недопущения вторжения в систему вредоносного ПО или прочих кибератак.
  6. Организовать физическую защиту локации хранилища всех баз данных, а также технических средств обработки личной информации.

Таким образом, организация защиты информационных баз данных, которую обязан провести оператор персональных данных включает в себя комплекс специальных мероприятий, направленных на целевое использование, корректную обработку и хранение, а также максимальную безопасность всех персональных данных физических лиц. Строгое соответствие нормативным положениям о порядке обработки личной информации — обязательное требование к работе оператора данных, а также ко всем причастным к процессу уполномоченным на предприятии лицам.

Рейтинг автора
123
Виталий Куракин
Автор статьи
Виталий Куракин
Юрист
Написано статей
301
Не нашли ответа на свой вопрос? Звоните на телефон горячей линии. Это бесплатно.

8 (800) 350-31-84

Оцените статью
( Пока оценок нет )
Pravo.Team
Добавить комментарий

Call Now ButtonБесплатная консультация:
8 (800) 350-31-84