Защита персональных данных

Обязанности оператора

Усиление административной и уголовной ответственности за невыполнение или ненадлежащее исполнение ФЗ – одно из основных и приоритетных направлений работы законодателей и исполнительной власти.

Стремясь навести порядок в сфере малого и среднего бизнеса, государство увеличивает размеры штрафов в несколько крат даже за минимальные нарушения.

Для небольших предприятий, являющихся операторами персональных данных, обязанность соблюдать указанный выше закон оборачивается значительным финансовыми вложениями, ведь стоимость работы экспертов и лицензированного программного обеспечения достаточно велика.

На основании возрастающей необходимости и строится работа по предоставлению услуг по защите персональных данных, сокращённо именуемых ИСПДн (информационные системы персональных данных).

Термин «Персональные данные», применяемый к личной информации гражданина, в полной мере относится к его паспортным сведениям, семейному положению и ряду других данных.

Конфиденциальность, то есть неразглашение всего перечисленного и есть обязательное к исполнению действие для оператора или иного лица, указанного в законе. Таким образом, оператор – юридическое лицо, которое организует и проводит обработку персональных данных, попутно определяя их содержание.

Обработка может проходить неавтоматизированным методом или с использованием средств автоматизации и включает следующие ниже действия:

  • Сбор;
  • Хранение;
  • Систематизацию;
  • Обновление (уточнение);
  • Обезличивание;
  • Блокировка;
  • Уничтожение.

Обеспечить все действия так, чтобы информация «не уходила на сторону» – основная задача оператора.

Он обязан принять все возможные меры, как технические, так и организационные, чтобы защитить ПД от преступного или непредумышленного доступа, могущего повлечь за собой распространение информации широкому кругу людей.

Виды защиты персональных данных

Разработка плана мероприятий, гарантирующих обеспечение защиты персональных данных, состоит, прежде всего, из понимания, какая личная информация обрабатывается, в каком объеме и для чего она впоследствии используется.

В законе это называется классификацией и позволяет решить, актуальна ли проблема для отдельно взятого предприятия и организации.

Порядок классификации регламентируется приказами Мининформсвязи России № 55, ФСТЭК РФ и ФСБ:

  • Приказом оформляется формирование комиссии, в которую входит не менее 3х человек.
  • Проводится анализ исследуемых ПД по категории, типу, структуре, режиму и другим параметрам, на основании которых присваивается один из четырех существующих классов информационной системы.

Информация так же делится на две группы: типовая и специальная. Первая требует только сохранения секретности ПД, а вторая независимо от необходимости конфиденциальности, требует обеспечения одной или нескольких параметров безопасности.

Метод расчета норм расхода топлива продуман достаточно грамотно, и используется не только для контроля предприятий налоговыми органами, но также, позволяет и самим руководителям фирм планировать свои затраты на эксплуатационные материалы.

Путевой лист автомобиля заполняется уполномоченным лицом и выдается водителю под расписку только тогда, когда он сдал имеющийся предыдущий лист. О том, что такое путевой лист читайте здесь.

Практика применения ФЗ-152 показывает, что основная часть организаций принадлежит к специальной информационной системе ввиду того, что вынуждена обеспечивать доступность и полноту данных.

Итак, результатом работы комиссии является акт классификации и указанный в нем тип. После этого можно точно установить, какие методы защиты потребуются для исполнения требований российского законодательства, а именно приказа № 55/86/20.

Аудит и внедрение защиты персональных данных

Компании, оказывающие услуги по защите персональных данных, как правило, предлагают комплекс действий, направленный на создание специализированного продукта и его внедрение.

Но изначально отсчет идет с инвентаризации систем информации, если они есть и формирования списков потенциальных нарушителей и угроз.

Далее проводится аудит (добровольная проверка) уже существующих защитных мер, по результатам которой проходят:

  • Стадия предпроекта и разработка технического задания;
  • Проектирование;
  • Реализация разработанной системы;
  • Ввод ее в эксплуатацию (после этапа опытной работы);
  • Испытания сдачи-приемки;
  • Оценка работы.

Для осуществления этого вида деятельности у компании предоставляющей услуги должна быть действующая на период исполнения и заключения договора лицензия на право деятельности по технической защите от ФСТЭК.
В перспективе компания, создавшая системы защиты проводит:

  • Обучение сотрудников, которые назначены распоряжением по предприятию быть ответственными за обеспечение защиты персональных данных в организации;
  • Периодические проверки уровня знаний указанных выше сотрудников, донесение до них изменений законодательства, связанные с ИСПДн.

Сотрудникам организации, в которой проведен комплекс мер по обеспечению безопасности ПД необходимо поддерживать высокий уровень информированности и неукоснительно соблюдать разработанные положения и инструкции.

Сложность состоит в имеющихся противоречиях, до сих пор не устраненных, между операторами и скорриноговыми, информационными, скриннинговыми и почтовыми системами.

Требования к защите персональных данных при проверках

Несмотря на то, что корректно выполнить меры, предусмотренные действующим законодательством довольно сложно, в настоящее время начинаются массовые проверки операторов и юридических лиц, не заявленных в реестре.

Внедрение ФЗ-152 оборачивается для них штрафами и предупреждениями, и вероятно, многие решения надзорных органов будут оспорены в судах, создавая прецеденты для выравнивания несовершенства закона и подзаконных актов.

Роскомнадзор, исполняя статью 23 рассматриваемого ФЗ, проводит плановые мероприятия, контролирующие соответствие обработки ПД крупными операторами банковской системы, операторами мобильной связи, предприятиями-монополистами и организациями, работающими в сфере ЖКХ.

При проверке представители Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций требуют предоставить документы, дающие представление об организации обработки ПД, в которых должны быть прописаны моменты их хранения, приема-передачи и последующее уничтожение.

Уведомление о переходе на УСН № 26.2-1 является стандартом и для вновь зарегистрированных предпринимателей и подается сроком не позднее 30 дней после проведения регистрации как предпринимателя.

Бухгалтерская и налоговая отчетность при УСН требует соблюдения сроков подачи документов. Подробнее о видах и сроках налоговой отчетности при УСН читайте .

Кроме этого, проверяется соблюдение процедурных вопросов – согласия субъектов на обработку ПД, их информированности о своих правах и возможной передаче личных данных третьим лицам.

Стоит отметить, что при организации контроля и надзора за деятельностью операторов, призванной обеспечить права и свободы граждан, представители Роскомнадзора дают рекомендации по неразрешимым вопросам, некорректно или неполно сформулированными в этом законе.
Специалисты и эксперты в области обработки персональных данных делают выводы о и том, что исполнение законодательного акта требует значительных финансовых затрат не предусмотренных бюджетом для организаций-операторов и провоцируют последних минимально относится к его требованиям.

Отсюда – лишь поверхностное исполнение благих намерений. Организации, предоставляющие услуги по защите персональных данных, остаются промежуточным звеном, решая по мере возможности проблемы исполнителей закона.

ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Шаг 1. Определяем, какие документы организации содержат персональные данные

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», гл. 14 ТК РФ.

Персональными данными работника будет следующая информация:

• фамилия, имя, отчество;

• пол, возраст;

• дата и место рождения;

• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

• состояние здоровья;

• гражданство;

• место жительства;

• номера телефонов;

• семейное положение, наличие детей, родственные связи;

• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

• изображение человека (фотография и видеозапись), которое позволяет установить личность;

• финансовое положение;

• деловые и иные личные качества, которые носят оценочный характер;

• другие сведения, которые могут идентифицировать человека.

Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.

К документам организации, содержащим персональные данные работников, относятся:

• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;

• копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;

• трудовая книжка;

• личная карточка по форме № Т-2;

• трудовой договор и дополнительные соглашения к нему;

• подлинники и копии приказов по личному составу;

• документы оплаты труда;

• документы об обучении, оценке, аттестации работников;

• базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);

• при необходимости – иные документы, содержащие персональные данные работников.

Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.

Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

Пример положения о защите персональных данных приведен в Приложении.

Шаг 3. Назначаем лицо, ответственное за обработку персональных данных

Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора).

Назначение ответственного лица оформляется приказом (Пример 1). Данная обязанность отражается в должностной инструкции работника.

Шаг 4. Закрепляем права доступа к персональным данным в приказе

Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам. Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *