Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.
| Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск «Кадрового обзора». |
Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.
Пример
|
| О том какие меры по защите конфиденциальности в организации содержит политика персональных данных, как разработать и утвердить Положения и Регламенты, расскажут эксперты Валентина Митрофанова и Мария Финатова в онлайн-курсе в рамках дистанционного повышения квалификации. |
Требования к внутренним документам по персональным данным
Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:
- Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
- Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.
Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.
Сроки хранения документов
В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.
Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.
Общие положения локального акта по защите персональных данных в организациях
Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.
В локальном акте допустимо расписать права и обязанности:
- работодателя — оператора ПнД;
- работника — субъекта ПД.
По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.
Пример
|
Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:
- проанализируйте фактическую деятельность предприятия;
- изучите устав — там указаны основные направления работы;
- отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.
Как оформить допуск к персональным данным в локальном акте
Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.
Как описать в локальном акте внутренний доступ к персональным данным
Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.
При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.
Пример перечня должностей и перечня документов с персональными данными
Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.
| Совет Мы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие. |
Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.
Внешний доступ — передача третьим лицам персональных данных
В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:
- Инспекции труда;
- Прокуратура РФ;
- Правоохранительные органы;
- Налоговики;
- Военные комиссариаты;
- Отделы миграционного учета иностранных граждан;
- другие.
Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.
Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:
- название, месторасположение;
- цели передачи и объем переданных сведений;
- операции с ПнД;
- механизмы и правила обработки;
- требования к защите.
| Совет Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту. |
| Пример Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. |
Пример реестра персональных данных и действий по их обработке
Персональные данные в трудовом праве
Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее —
Нормативные документы по защите персональных данных
закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).
Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.
В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.
Содержание и объем защиты персональных данных в организациях: документальное оформление
Ст. 5, п.5 No152-ФЗ посвящена:
- соразмерности объема и характера полученных данных объявленным целям;
- запрещению избыточности ПДн.
Об этом будет следующий раздел локального акта.
| Пример Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. |
| Важно! Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД. |
В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.
| Совет Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов. |
Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.
Меры безопасности при обработке персональных данных
Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:
- моделирование угроз безопасности персональных данных в информационных системах;
- выявление самовольного доступа к конфиденциальным сведениям и оперативное реагирование на инциденты.
Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:
- установление аутентичности субъектов и объектов доступа;
- наблюдение за допусками;
- защита носителей, хранящих / обрабатывающих ПД;
- наблюдение за событиями;
- обследование защищенности ПД;
- обеспечение невредимости ИС и информации;
- доступность ПД;
- защита технических ресурсов и др.
Полностью состав этих мер приводит Приказ ФСТЭК No 21.
Обработка данных работодателем
Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:
- обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
- ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
- финансовый источник организации защиты рассматриваемых данных — средства работодателя;
- не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
- меры по защите ПД — вопрос совместной деятельности работника и работодателя.
Как ведется работа с персональными данными в организации?
Описание порядка хранения персональных данных в локальном акте
Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:
- с достигнутой целью обработки;
- вместе с действием согласия на обработку ПД/его отзыва;
- согласно нормам об архивном деле.
| Совет Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте. |
| Важно! Напоминаем — базы данных личных сведений работников локализуются в России |
Что такое персональных данные
Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:
- ФИО;
- дата рождения;
- паспортные данные;
- адрес регистрации и проживания;
- ИНН;
- номер СНИЛС;
- информация об образовании и трудовом стаже.
Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.
Информационные системы персональных данных — требования к защите
В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:
- для обработки спецкатегорий ПД;
- работа с биометрией;
- содержащие общедоступные данные;
- все остальные (исключая специальные, биометрические, общедоступные);
- только перс данные работников оператора.
В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.
Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.
Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:
- системном ПО — 1 тип;
- прикладном ПО — 2 тип;
- в системном и прикладном ПО — 3 тип.
Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.
Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности — пунктах 13 -16.
