Положение о защите персональных данных организации

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Вопрос персональных данных организации требует соблюдения законодательных норм, обеспечения приватности, нераспространения личных данных сотрудников, не являющихся общедоступными. Каждый сотрудник организации обладает базовым правом сохранять личную информацию от посягательств третьих лиц на ее раскрытие. Законодательство РФ имеет широкую нормативную базу, касающуюся деятельности работодателя в вопросах сбора и обращения с личной информацией как внутри компании, так и при выполнении различных операций с ПДн за ее пределами.

Законодательные основы защиты персональной информации

Главной юридической базой по защите персональных данных является закон № 152-ФЗ, регламентирующий общие вопросы работы с персональными данными.

ТК Российской Федерации содержит исчерпывающую характеристику персональных данных работника. Согласно с этим документом, работодателя касаются лишь те аспекты конфиденциальной информации сотрудника, которые необходимы для организации рабочего процесса. Данные, которые не имеют связи с трудовыми отношениями, не являются необходимыми к собиранию и использованию работодателем. Глава 14 ТК РФ обязывает каждую организацию к разработке и имплементации собственного акта, регулирующего документооборот, связанный с защитой персональных данных.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальный нормативный акт – Положение о защите персональных данных организации, которым определяется порядок работы с личными данными, их защиты, хранения и использования. Этот документ также содержит механизмы отстаивания прав самого работника в судебном порядке в случае их нарушения в части сохранности ПДн.

Положение о ПДн работников

Компания может оформлять Положение по собственной форме, но с соблюдением общих правил делового документооборота. Титульная страница содержит дату, номер документа, название юридического лица. Утверждается Положение руководителем организации. Вступает в силу данный документ после подписания или издания приказа (распоряжения) или с даты, указанной на титульном листе этого внутреннего норматива (если приказ не издавался).

Несмотря на законодательную неопределенность структуры, общий вид Положения практически одинаков у всех организаций, так как оно должно содержать все необходимые нормы при обработке ПДн в организации (структура хранимых данных в целом подобна для всех предприятий).

В Положении о защите ПДн необходимо высветить следующие вопросы:

1. Базовые законодательные положения.

2. Виды ПДн сотрудника предприятия.

3. Порядок работы с ПДн и их хранение.

4. Права доступа к ПДн сотрудников компании, третьих лиц, субъекта персональных данных.

5. Описание применяемых методов защиты ПДн.

6. Ответственность за нарушение порядка защиты персональной информации.

Введение Положения кроме законодательных актов содержит цели, которые преследует данный документ, – создание всех необходимых условий для максимальной защиты ПДн каждого сотрудника организации. Здесь же должны содержаться все ссылки на законодательную базу.

Виды ПДн в организации

Во втором разделе перечислены непосредственно данные работника, которые нужно предоставить по требованию работодателя. К такой информации относятся стандартные данные: ФИО работника, домашний адрес, сведения об образовании, квалификации, постановке на воинский учет, номер СНИЛС и др.

Здесь же можно указать, в какие инстанции (третьи лица) может понадобиться предоставить ПДн сотрудника:

  • налоговая служба;
  • органы соцопеки;
  • военкоматы;
  • пенсионные органы и другие организации.

Обработка персональных данных

Раздел о порядке обработки и хранения ПДн перечисляет информацию об уполномоченных лицах, которые имеют право работать с персональной информацией. Необходимо указать полный перечень носителей, на которых будут размещаться, храниться данные – электронные и бумажные. Нужно определить порядок, который используется на предприятии во время обработки ПДн.

Доступ к ПДн

Раздел о доступе к персональным данным содержит исчерпывающий перечень лиц, которым может передаваться конфиденциальная информация сотрудников. Это касается в равной степени штатных работников предприятия, других организаций, с сотрудниками которых компания будет взаимодействовать и заниматься обработкой их личных данных.

Если иное отдельно не оговорено, можно вписать в допуск к работе с ПДн третьих лиц либо непосредственно государственное учреждение, которому такие данные будут передаваться. К примеру, ПДн сотрудников организации (об их заработной плате) организация должна передавать уполномоченным фискальным органам.

В разделе прописываются не только посторонние юридические лица, но и члены семей самого штатного сотрудника. Иметь доступ к такой информации, согласно актуальному российскому семейному и трудовому законодательству, разрешено только в случае получения письменного согласия субъекта ПДн. Доступ к персональной информации разрешается лишь после предоставления работником его согласия в письменном виде на такую обработку.

Согласие на обработку ПДн

Последнюю часть, как правило, отводят под санкции за нарушение законодательства по защите персональной информации, а также требования этого локального документа. Ознакомить с вступившим в силу Положением о защите ПДн требуется всех штатных сотрудников, независимо от их текущего доступа к приватным документам. Сделать это нужно под роспись в специальном журнале или в приложении к Положению.

Введение Положения в действие и соблюдение требований защиты ПДн

Положение о защите персональных данных должно быть подписано руководителем организации. Перед его введением в действие нужно пройти ряд согласований в организации. В качестве согласовывающих лиц могут выступать руководитель отдела безопасности, может требоваться заключение юридического отдела, свое мнение по поводу отсутствия нарушений в данном документе может высказать профсоюз, если профсоюзная ячейка в организации создана. Если такого органа нет, согласовать Положение можно с представителями трудового коллектива. В случае внесения в этот документ изменений, они также должны проходить согласование внутри организации в соответствии с предусмотренной на предприятии процедурой согласования всех разрабатываемых нормативов локального характера.

Суть этих изменений в обязательном порядке также доносится до всех штатных сотрудников, вовлеченных в обработку персональных данных, которые могут считаться конфиденциальными.

Каждый сотрудник должен ознакомиться под роспись с Положением о защите персональных данных организации. Первичное ознакомление с Положением должно производиться еще перед непосредственным подписанием трудового договора.

Одним из ключевых юридически значимых вопросов при обработке ПДн в организации является получение согласия штатного работника на обработку его личной информации. 24-я статья Основного Закона закрепляет полный запрет публиковать личную информацию без согласия частного лица. Поэтому большинство организаций предпочитает еще при найме на работу заполнять письменное заверение о согласии передать ПД в обработку.

ФЗ № 152 определяет такие необходимые элементы подобного соглашения:

  • паспортные данные, адрес субъекта ПД, все сведения об органе, выдавшем удостоверение личности;
  • персональная информация – ФИО и адрес проживания самого оператора, который принимает согласие на обработку;
  • точное и четкое указание цели обработки конфиденциальной информации;
  • исчерпывающий перечень самой конфиденциальной информации, подлежащей разглашению перед уполномоченными лицами;
  • список манипуляций, которые должны будут проделываться над собранными ПДн;
  • общий срок действия договора, по истечении которого информация вновь становится полностью приватной;
  • условия, при которых персональные данные должны быть полностью изъяты или уничтожены.

Статья 6 ФЗ № 152 также определяет случаи, когда согласие со стороны сотрудника на предоставление ПД не требуется.

Если в организации не разработано Положение о защите персональных данных, необходимо срочно создать и внедрить этот документ, а также разработать действенную систему по его выполнению всеми сотрудниками организации, так как неупорядоченная обработка ПДн может привести к несанкционированному распространению личной информации. В таком случае возможно привлечение работодателя к ответственности за подобные нарушения в судебном порядке.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними