Для защиты персональных данных работников создайте комплект следующих основных документов:
- приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашего учреждения, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);
- положение о защите персональных данных работников учреждения или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).
Проверьте, возможно, для вашего учреждения уже утвержден такой локальный нормативный акт. Например, если вы подведомственны Роспотребнадзору, руководствуйтесь Положением об обработке и защите персональных данных в Роспотребнадзоре. Также есть Политика в области обработки и защиты персональных данных в ФБУ РФЦСЭ при Минюсте России;
- приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников учреждения. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных с учетом абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных;
- дополнительные документы, обязательные для вашего учреждения.
Например, если ваше учреждение подведомственно Рособразованию, вам нужно дополнительно издать приказ о создании комиссии по защите персональных данных и ряд других документов, перечисленных в Приложении 2 к Письму Рособразования от 22.10.2009 N 17-187.
Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе. Ключевое требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).
Поэтому мы рекомендуем, в частности, следующее:
- хранить персональные данные на бумажных носителях в специальных помещениях. Учитывайте, что нужно раздельно хранить персональные данные (материальные носители), которые обрабатываются в разных целях (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации);
- организовать особый режим доступа в эти помещения, в частности утвердить перечень лиц, имеющих доступ в данные помещения, с учетом требований п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
- организовать охрану таких помещений, например оборудовать их сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах.
Обратите внимание, что в некоторых случаях обязательно хранить персональные данные в железных шкафах. Например, в таких шкафах должны храниться документы воинского учета, содержащие персональные данные работников (п. 21 Методических рекомендаций по ведению воинского учета в организациях).
Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).
Но есть множество уточнений, с которыми сложно разобраться неспециалисту. Вы можете удостовериться в этом, изучив организационные и технические меры, которые утверждены Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378.
Поэтому, как правило, привлекают специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных).
В частности, для защиты персональных данных потребуется:
определить, какой у вас тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах);
подобрать один из четырех уровней защиты персональных данных, исходя из вашего типа угрозы, в соответствии с п. п. 8 — 16 Требований к защите персональных данных при их обработке в информационных системах.
Именно от этого и будет зависеть комплекс мер.
Например, если по итогам определения типа угрозы специалист предложит вам обеспечить минимальный (четвертый) уровень защиты персональных данных работников, вам потребуется (п. 13 Требований к защите персональных данных при их обработке в информационных системах):
- обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
- обеспечить сохранность носителей персональных данных;
- утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).
За нарушение законодательства в области персональных данных вас могут привлечь, в частности, к административной ответственности по ст. 13.11 КоАП РФ.
Более подробно с данным материалом Вы можете ознакомиться в СПС КонсультантПлюс
