Персональные данные каждого участника трудовых отношений (как и любых граждан) являются особой категорией информации. Ее защита регламентируется одноименным законом № 152-ФЗ, в котором прописаны все необходимые требования к защите ПДн, а также особые правовые режимы их обработки.

В качестве субъекта, отвечающего за все операции с конфиденциальными данными на предприятиях любого вида собственности, выступает исключительно работодатель (оператор). Соответственно, на него могут накладываться санкции за нарушение организации работы с ПДн. Работодатель разрабатывает все необходимые положения, приказы, мероприятия и иные документы по защите конфиденциальности приватных данных сотрудников, партнеров, клиентов. В компетенцию оператора входят вопросы обеспечения кибербезопасности и сохранности сведений, хранящихся на физических и электронных носителях. За утечку информации, которая собирается, обрабатывается, хранится на предприятии, также отвечает непосредственно оператор.

Правовые источники, обеспечивающие защиту прав в отношении ПДн

Обеспечение защиты персональной информации строится на основных правовых документах, действующих в этой сфере:

• ФЗ № 152 – основополагающие требования по защите ПДн;
• ТК РФ – содержит гарантии, правила и нормы, регулирующие обмен, возможность открытой публикации данных работников;
• система созданных на предприятии организационных и правовых отношений, в которые входят Устав компании, Политика обеспечения конфиденциальности, Положения по работе с персональными данными на предприятии.

Каждому работнику предоставляется право на защиту его персональной информации, которое гарантируют нормы Конституции РФ.

Особенности защиты персональных данных в организации

Процесс защиты ПДн начинается с момента устройства работника на предприятие при заполнении им анкеты с личными данными и продолжается на протяжении всего срока трудовых взаимоотношений. Во время подписания трудового договора гражданин должен предоставить информацию, которая позволит его идентифицировать. В число таких данных входят:

• ФИО работника;
• его паспортные данные;
• документы, подтверждающие квалификацию, образование, наличие определенной профессии;
• документы о наличии льгот;
• брачное свидетельство;
• документы о рождении детей;
• СНИЛС, ИНН, страховой полис;
• медицинская информация, подтверждающая возможность выполнения работником его трудовых обязанностей и др.

Работодатель обязан в соответствии с законодательством всю полученную от работника информацию обработать, сохранить, защитить от несанкционированного распространения, если работник не предоставил на это письменное согласие.

Обработка ПДн – это получение сведений, их систематизация, внесение дополнений, изменений (при необходимости). Хранить ПДн необходимо с обеспечением ограничения доступа к этим данным, что позволит избежать случаев их копирования, внесения изменений, уничтожения, блокировки, неразрешенного распространения.

На предприятии начало защиты персональных данных – это издание приказа о назначении ответственного лица, обеспечивающего организацию, внедрение и выполнение всех требований законодательства по защите персональных данных на предприятии. В этом документе обязательно указывается ФИО лица, на которое такая ответственность возлагается.

Оператором ПДн считается работодатель, если предоставленная работником информация личного характера не ограничена только трудовыми и кадровыми отношениями и необходима для обработки и оказания каких-либо услуг.

Работодатель должен создать Политику по работе с персональными данными, соответствующие положения, требовать выполнения всех мероприятий от ответственных лиц, предусмотренных этими внутренними документами и законодательством. Все документы, создаваемые на предприятии в отношении защиты ПДн, должны быть утверждены и введены в действие приказами руководителя.

Если компания признана оператором персональных данных, она должна направить эту информацию в контролирующую работу с персональными данными организацию. Каждый федеральный округ имеет свой надзорный орган, наделенный полномочиями контролировать работу операторов.

Контролирующие органы размещают на своих официальных сайтах форму уведомления, которое оператор должен заполнить и выслать его в адрес этого органа по почте в оригинале.

На каждом предприятии должны быть разработаны два документа:

• на получение согласия от граждан на обработку и хранение их персональных данных;
• на отмену такого согласия.

После полного выполнения обязательств по предоставлению услуги полученные персональные данные, ставшие ненужными для предприятия, должны быть уничтожены. Законом на это отводится до 30 дней. Исключение составляют действия, необходимые для защиты жизни и совершения правосудия. В этом случае персональные данные не отправляются на уничтожение, даже если они отозваны гражданином.

Обмен персональными данными

Информация, содержащая в себе персональные данные работника, на протяжении рабочего процесса проходит процедуру обмена постоянно не только внутри предприятия, но и выходит за пределы компании, так как зачастую она должна предоставляться третьим лицам. При наступлении конфликтов, касающихся ПДн, высшим приоритетом является выполнение требований Трудового Кодекса РФ. После ТК должны рассматриваться уставные и правовые документы предприятия и выявление их нарушений. Далее право на защиту рассматривается в свете требований, гарантированных Конституцией РФ.

Работодатель не имеет права без причин требовать от работника предоставления его личной информации. Возможность оглашения распространяется только на сведения, необходимые для подписания трудового договора, при оформлении нормативных документов, при решении спорных, конфликтных вопросов с участием третьих лиц в соответствии с требованиями ст. 22 ТК РФ.

Предохранительные мероприятия включают в себя меры организационного характера:

• ограничение доступа к местам хранения ПДн и архивам;
• верификацию лица, запрашивающего доступ к информации, перед ее предоставлением;
• ознакомительная форма предоставления данных;
• санкционные и штрафные меры при обнаружении нарушения установленных правил в отношении обработки персональных данных на предприятии.

Также предусматриваются меры технического характера при обработке ПДн:

• криптографирование, шифрование сведений;
• формирование и использование отдельных серверов для хранения ПДн и, соответственно, каналов связи для их передачи;
• утилизация ставших неактуальными персональных данных;
• экранирование комнат и устройств для предотвращения взломов.
• Реализация работником защиты персональных сведений возможна посредством:
• обеспечения свободного бесплатного обращения с документацией, в которой присутствуют его ПДн;
• требования предоставления копий любых нормативных документов, касающихся работы с ПДн;
• требования от работодателя изменить, обновить, заменить, уничтожить ПДн или какую-либо их часть;
• обжалования процедуры, используемой для получения, обработки, оглашения данных компанией.

Примерный перечень документов по защите персональных данных на предприятии

• Акт пригодности ИСПДн «Бухгалтерия» к работам по защите данных на предприятии;
• Акт об утилизации документации, которую категорически нельзя хранить;
• Акт по работе на вычислительной оргтехнике, являющейся частью информбезопасности сети;
• Акты по уничтожению личной информации;
• ИС «Сотрудники»;
• ИС «Клиенты»;
• Описание информсистемы;
• Моделирование угроз безопасности в системе «Сотрудники»;
• Моделирование угроз безопасности в системе «Клиенты»;
• Образец модели угроз безопасности;
• Инструкция о том, как грамотно делать бэкап в условиях повышенной ответственности и федеральных требований о защите;
• Базовая инструкция пользователя ИС;
• Инструкция касательно антивирусов и аналогичных пакетных средств защиты компьютеров от несанкционированного воздействия;
• Инструкция по вопросам кибербезопасности ИС для администратора;
• Инструкция информсистем ПДн для администратора;.
• Инструкция для пользователей по выполнению операций с ПДн вручную, без применения средств автоматизированной обработки;
• Инструкция по работе с машинной матчастью, применяемой при обработке ПДн в разных сферах;.
• Расписание и организация плана проверок матчасти и оценки уязвимости систем безопасности документов;
• Образец правильного составления политики работы с ПДн;
• Положение по стандартам внутреннего контроля кибербезопасности в сфере ПДн;
• Положение о разделении прав доступа;
• Общие положения по вопросам безопасности ПДн;
• Общие положения по обработке персональной информации;
• Положение об ответственных лицах, выполняющих операции по деловодству и обработке ПДн;.
• Положение по возможному причинению ущерба (финансовому и материальному) в отношении субъектов ПДн;
• Положение о создании комиссии, занимающейся аспектами информационной безопасности, работа с ее составом;
• Приказ о старте обрабатывающих мероприятий по работе с ПДн;
• Приказ об ответственных лицах и комиссии по безопасности;
• Приказ, содержащий список сотрудников, которым предоставляется доступ к персональной информации;
• Приказ с перечнем мест, где разрешено хранить материальные ценности, связанные с ИСПДн;
• Перечень ИСПДн;
• Приказ о разработке и контроле границ контролируемой зоны на предприятии, со списком доступа лиц;
• Перечень информации, которая рассматривается в качестве персональных данных;
• Перечень информсистем;
• Письменные согласия работников на операции с их персональными данными;
• Письменные согласия клиентов на операции с их персональными данными;
• Образец бланка такого согласия;
• Журнал ознакомления для рабочего персонала предприятия;
• Учетный журнал касательно как матчасти защиты информации, так и всех мануалов к ней;
• Учетный журнал криптографических средств защиты информации, мануалов и полной технической документации;
• Учетный журнал лицевых счетов лиц, работающих со средствами криптозащиты;
• Учетный журнал выдачи и работы с машинной матчастью;
• Учетный журнал проверок со стороны уполномоченных организаций государственного надзора;
• Учетный журнал обращений лиц за доступом к собственным персональным данным;
• Учетный журнал входящих конфиденциальных документов;
• Аналогично для всей исходящей конфиденциальной корреспонденции;
• Учетный журнал регистрации и работы с печатями и печатающими механизмами выдачи;
• Журнал инвентаризации документов, имеющих ограничения на распространение;
• Учетный журнал регистрации ключей, сейфовых и от специальных помещений, имеющих отношение к ПД;
• Журнал, отмечающий любые попытки несанкционированного доступа к любым возможным формам персональных данных;
• Журнал сейфовый;
• Журнал ключевой;
• Журнал перемещения накопителей с персональными данными;
• Журнал учета утилизации этих данных;
• Журнал ознакомления лиц, чьи данные обрабатывает оператор (автоматизированные средства обработки в данном случае не учитываются).

Несмотря на значительную доработку федерального законодательства в плане использования сравнительно более эффективных механизмов, нежели ранее, есть необходимость совершенствования существующих систем защиты ПДн на предприятиях.

Усложняет ситуацию резко увеличившееся количество киберпреступников, занимающихся выуживанием конфиденциальной информации. Даже новейшие средства защиты требуют дополнительной подстраховки. А это значительные суммы денег и необходимость наличия квалифицированного персонала.