Как организовать защиту персональных данных


Как организовать защиту персональных данных

Работодатель обязан сохранять конфиденциальность персональных данных работников. В связи с этим в процессе обработки персональных данных следует уделить особое внимание их учету и защите. В связи с этим закон возлагает на оператора персональных данных (работодателя) следующие обязанности (ч. 1 ст. 18.1 Закона № 152-ФЗ):

  • назначение лица, ответственного за организацию обработки персональных данных;
  • издание документов, определяющих политику работодателя в отношении обработки персональных данных работников и ознакомление работников с ними;
  • внутренний контроль и (или) аудит соответствия обработки персональных данных законам и локальным актам работодателя;
  • оценка вреда, который может быть причинен работникам в случае нарушения требований по защите персональных данных;
  • организационные и технические меры по защите персональных данных.

Рассмотрим каждую их перечисленных мер более подробно.

Назначение лица, ответственного за организацию обработки персональных данных

Работодатель-организация вправе назначить лицо, ответственное за организацию обработки персональных данных (далее – Ответственное лицо) (п. 1 ч. 1 ст. 18.1 Закона № 152-ФЗ). Индивидуальный предприниматель может выполняет его функции самостоятельно.

В зависимости от объема обязанностей Ответственного лица можно либо ввести отдельную должность, либо возложить эту функцию на кого-либо из действующих сотрудников (например, на условиях совмещения или совместительства). Помимо приказа о назначении Ответственного лица следует оформить документы, определяющие перечень его обязанностей (например, должностную инструкцию).

Порядок работы такого сотрудника определен в ст. 22.1 Закона № 152-ФЗ. Согласно п. 2 этой нормы Ответственное лицо подотчетно исполнительному органу организации-работодателя. Этот же орган вправе давать указания Ответственному лицу.

В обязанности Ответственного лица входит (ч. 4 ст. 22.1 Закона № 152-ФЗ):

  • контроль за соблюдением работодателем и работниками требований законодательства об обработке и защите персональных данных;
  • доведение до сведения работников положений закона и локальных актов организации о персональных данных;
  • организация, прием и обработка обращений и запросов субъектов персональных данных (работников, в т.ч. бывших) или их представителей.

Обратите внимание: для работы Ответственному лицу понадобится подробная информация как о самом операторе персональных данных (работодателе), так и иные сведения (цель обработки персональных данных, даты начала обработки персональных данных, сроки окончания их обработки и т.д.). Полный перечень таких сведений закреплен в ч. 3 ст. 22 Закона № 152-ФЗ. Работодатель, в свою очередь, обязан предоставить эти сведения (ч. 3 ст. 22.1 Закона № 152-ФЗ).

Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законам и локальным нормативным актам

Для качественной и всесторонней защиты обрабатываемых персональных данных недостаточно издать соответствующие локальные акты и указать работникам на необходимость соблюдения закрепленных в них правил, а также законодательства о защите этих данных. Необходим контроль за исполнением требований и соблюдением правил, закрепленных в указанных документах.

Как правило, функции осуществления такого контроля возлагаются на лицо, ответственное за организацию обработки персональных данных. Закон не содержит перечня обязанностей такого лица, позволяющих осуществлять всесторонний контроль за исполнением правил по обработке персональных данных. Тем не менее контроль может осуществляться путем:

  • Отслеживания изменений действующего законодательства в сфере защиты персональных данных;
  • Проверки соответствия деятельности организации по защите персональных данных требованиям закона и локальных нормативных актов;
  • Своевременного приведения локальных нормативных актов организации в соответствие с действующим законодательством о защите персональных данных;
  • Оптимизации способов и методов защиты персональных данных;
  • И т.д.

В целях организации внутреннего контроля за соблюдением законодательства о персональных данных целесообразно разработать план контрольных и проверочных мероприятий. В этом плане можно закрепить перечень мероприятий внутреннего контроля (например, аттестация сотрудников, работающих с персональными данными, проверка техники, которая используется для обработки персональных данных и т.д.), а также способы, методы, периодичность и другие параметры мероприятий по внутреннему контролю.

Оценка вреда, который может быть причинен работникам при нарушении требований по защите персональных данных

Порядок проведения такой оценки законом не закреплен и осуществляется работодателем по собственному усмотрению. Такую оценку целесообразно проводить в первую очередь, поскольку от ее результата будет зависеть выбор мер, необходимых для качественной защиты персональных данных.

Поскольку объемы, виды и другие характеристики персональных данных могут со временем меняться, оценка возможного вреда может проводиться и с какой-нибудь периодичностью (например, один раз в два года).

Периодичность, порядок проведения, результаты и прочие характеристики оценки вреда персональных данных фиксировать документально не обязательно. Но законом это не запрещено. При необходимости можно осуществлять и такую фиксацию (например, разработав Положение о проведении оценки вреда персональным данным).

Поскольку зачастую нормативные и локальные акты о персональных данных являются сложными документами, одного ознакомления с ними недостаточно. Рекомендуется проводить обучение сотрудников, в ходе которого необходимо разъяснить им все положения законов и локальных актов. По результатам такого обучения может быть осуществлено тестирование/аттестация работников на знание материала.

Применение правовых, организационных и технических мер по защите персональных данных

Как следует из ч. 1 ст. 19 Закона № 152-ФЗ, при обработке персональных данных необходимо принимать необходимые правовые, организационные и технические меры. Они призваны защитить персональные денные от неправомерного доступа, копирования, изменения, блокирования, уничтожения и т.д.

Примерный перечень мер, которые могут быть приняты работодателем для защиты персональных данных работников, приведен в ч. 2 ст. 19 Закона № 152-ФЗ. Причем выбор способов защиты будет зависеть от того, обрабатываются персональные данные в информационных системах или нет. Под информационной системой персональных данных понимают совокупность всех персональных данных, обрабатываемых работодателем, а также технологий и технических средств для их обработки (п. 10 ст. 3 Закона № 152-ФЗ). То есть речь идет об обработке персональных данных автоматизированным способом (с использованием вычислительной техники). Более подробно об этом читайте в статье Какие меры безопасности применяются при обработке персональных данных в информационных системах?

Помимо указанных мер рекомендуется также организовать физическую защиту носителей персональных данных, мест, где они хранятся и т.д. В частности, для этого понадобится оборудовать специальное помещение для хранения персональных данных и ограничить к ним доступ.