Персональные данные человека находятся под серьезной защитой со стороны государства — ряд нормативных документов регламентируют строгий порядок обработки личной информации, а также меры ответственности за различные нарушения в этой сфере. Тем самым на законодательном уровне предусмотрен целый комплекс мер, направленных на защиту от посягательства на личную информацию граждан и неправомерного ее использования.
Суть и механизм защиты персональных данных
Защита персональных данных граждан — это процесс, включающий в себя ряд технических и организационных мероприятий, направленных на реализацию всех законодательных требований и предписаний в сфере сбора, использования, передачи и хранения личных сведений, по которым происходит идентификация персоны. Обязанность по обеспечению всех мер возлагается на оператора персональных данных — организацию, которая занимается сбором, накоплением, использованием и хранением всей добровольно предоставленной физическими лицами информацией.
На практике защита личных сведений подразумевает организацию на предприятии регламента обработки персональной информации:
- разработку специальных внутренних документов для обработки персональных данных;
- организацию системы защитных мер от неправомерного использования личной информации с применением технических средств;
- внутренний контроль выполнения всех мер защиты в соответствии законодательным предписаниям.
Что такое “конфиденциальность персональных данных”?
Согласно законодательным нормам, под конфиденциальностью персональных данных следует понимать обеспечение оператором, которому вверяется обработка личной информации, требования неразглашения персональных данных без подтвержденного разрешения самого субъекта такой информации в виде письменного согласия на ее обработку.
Какая информация относится к персональным данным работника?
В соответствии с Законом “О персональных данных” граждан, а также положениями Трудового кодекса РФ, персональными данными работника являются сведения, которые относятся к определенному физическому лицу и используются в трудовых отношениях с организацией-работодателем.
Какие действия можно производить с персональными данными?
Компания-работодатель, выступающая оператором персональных данных, осуществляет сбор, накопление, систематизацию, передачу и хранение информации согласно нормам законодательства, а также использование полученных сведений исключительно в целях, связанных с реализацией договора и утвержденных в локальных документах на предприятии, регулирующих порядок информационного взаимодействия.
Что подразумевает передача персональных данных третьим лицам?
Передачей персональных данных третьим лицам является распространение оператором сведений стороне, которая не является участником трудовых правоотношений с субъектом персональных данных (или же — имеет косвенное отношение к субъекту).
Разглашение такой информации без письменного согласия субъекта — действие незаконное и подразумевает меры дисциплинарной и административной ответственности.
Чтобы передавать личные сведения стороннему лицу на законных основаниях, оператору необходимо:
- иметь официальное разрешение субъекта персональных данных на обработку его личной информации третьим лицом в рамках реализации договорных отношений;
- удостовериться в присутствии третьего лица в перечне операторов персональных данных, что гарантирует соблюдение им порядка конфиденциальности в обработке такой информации.
Кто имеет право запрашивать персональные данные?
Подавать запрос на предоставления персональных данных граждан без их письменного согласия могут ряд инстанций в соответствии с регламентированными целями такого сбора:
- прокуратура и правоохранительные органы;
- налоговые службы и военкоматы;
- профсоюзы и государственные инспекторы, контролирующие соблюдение мер трудового законодательства;
- третьи лица при наличии потенциальных угроз жизни и здоровью работника;
- медучреждения при тяжелых несчастных случаях или смерти работника.
Законодательное регулирование сферы защиты персональных данных
Основные положения Закона сводятся к следующим позициям:
- строгое соответствие сбора и использования личной информации утвержденным оператором целям на основании согласия об обработке, предварительно полученного от гражданина;
- недопустимость разглашения личных сведений сторонним лицам без письменного разрешения субъекта (за исключением законодательных требований);
- соответствие информационных систем законодательным стандартам в сфере использования персональных данных;
- право субъекта персональных данных на защиту личных прав и интересов в уполномоченных инстанциях, а также в суде.
Помимо Закона “О персональных данных”, законодательную базу в вопросах защиты личной информации работников на предприятии составляет Глава 14 Трудового кодекса РФ. В Статьях 85-90 ТК РФ изложены требования обработки персональных данных, порядок их использования, хранения и передачи, регламентированы права сотрудников на защиту сведений о себе.
Ключевые правила обработки персональных данных в организации
Обработка персональной информации работников на предприятии должна осуществляться по ряду обязательных к выполнению правил:
- Подготовка и создание пакета документов, регулирующих порядок обработки, главными в котором являются Положение о защите личных сведений работников, согласие на обработку персональных данных, а также обязательство уполномоченного на работу с данными лица исключить возможность их несанкционированного разглашения.
- Ознакомление работников с Положением о защите личных сведений.
- Подписание согласия на обработку персональных данных.
- Использование и хранение информации в соответствии с целями, прописанными в локальных документах на предприятии.
- Обезличивание и уничтожение данных по достижению целей их обработки или по окончании срока действия договора.
Методы и способы защиты персональных данных
В рамках организации комплексной защиты личных сведений на предприятии оператор персональных данных должен обеспечить выполнение следующих задач:
- Создать разрешительную систему доступа уполномоченных на работу с данными сотрудников.
- Ограничить возможность доступа персонала к локации, где установлены технические средства обработки информации, в том числе и ее носители.
- Организовать процедуру регистрации всех действий персонала для предотвращения каких-либо несанкционированных акций.
- Организовать систему учета, накопления и хранения технических носителей информации, включающую в себя процедуру резервного копирования всех технических средств.
- Использовать соответствующие инструменты защиты массивов данных, включая защищенные каналы связи с целью недопущения вторжения в систему вредоносного ПО или прочих кибератак.
- Организовать физическую защиту локации хранилища всех баз данных, а также технических средств обработки личной информации.
Таким образом, организация защиты информационных баз данных, которую обязан провести оператор персональных данных включает в себя комплекс специальных мероприятий, направленных на целевое использование, корректную обработку и хранение, а также максимальную безопасность всех персональных данных физических лиц. Строгое соответствие нормативным положениям о порядке обработки личной информации — обязательное требование к работе оператора данных, а также ко всем причастным к процессу уполномоченным на предприятии лицам.