(812) 612-28-77

Мой статус

Stigit1

Защита персональных данных на предприятии

С момента опубликования в 2006-м году Федерального закона 152 “О персональных данных” в печатных и интернет-изданиях появилось много статей, пояснений и комментариев, посвященных ему и подзаконным документам. Однако из всего сказанного и написанного сложно было понять: а что же, собственно, делать?
Итак, представим: Вы руководитель предприятия и Вам нужно подготовиться к введению в действие ФЗ 152 “О персональных данных”.
Допустим, ваше предприятие не специализированный вычислительный центр и не занимается обработкой данных как основным видом деятельности. Поэтому для начала нужно определиться с тем, работает ли ваше предприятие с персональными данными вообще?

Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, если на вашем предприятии ведется нормальный кадровый учет сотрудников, то персональные данные обрабатываются и предприятие - оператор персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом, если с работниками у вашего предприятия существуют нормальные договорные отношения, то их согласия на обработку их персональных данных не требуется, так как обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
При этом, если ваше предприятие работает только с персональными данными субъектов, с которыми его связывают трудовые отношения, то оно вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Крайне нежелательно хранение на предприятии в любом виде персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов, так как это существенно ужесточает требования к защите персональных данных.

Далее Вам нужно осуществить некоторые Организационно-правовые и Инженерно-технические мероприятия, а в дальнейшем поддерживать систему защиты в актуальном состоянии.
Ваши Основные действия
Выпустить приказы:
- о назначении ответственных за обеспечение безопасности персональных данных,
- об утверждении перечня сотрудников, допущенных к обработке персональных данных,
- о возложении персональной ответственности за защиту персональных данных,
- об утверждении регламента допуска сотрудников к обработке персональных данных.
Доработать должностные инструкции сотрудников, допущенных к работе с персональными данными.
Выпустить:
- Инструкцию о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные.
- Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационной системе.
- Описание системы защиты персональных данных.

Теперь немного об автоматизированных системах, используемых для хранения, обработки и защиты персональных данных. Для точного определения способов защиты вашей системы учета ПДн надо провести ее классификацию. Впрочем, если на вашем предприятии численность работников предприятия не превышает 1 000 человек, то скорее всего система относится к Классу 3. В соответствии с Руководящим документом Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей" (введен в действие приказом Председателя Гостехкомиссии от 04.06.1999 № 114), применение сертифицированных программных продуктов для организации систем этого класса не обязательно. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором, то есть вашим уполномоченным лицом.

Проверяющие органы (Роскомндзор, ФСТЭК) при проведении проверок будут в первую очередь руководствоваться документом “Административный регламент проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных”.

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок Службы на текущий календарный год.

Гораздо опаснее внеплановые проверки, основаниями для которых могут быть:
1. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
- Возникновение угрозы причинения вреда жизни, здоровью граждан.
- Причинение вреда жизни, здоровью граждан.
2. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
3. Приказ руководителя Службы или руководителя территориального
органа Службы, изданный в соответствии с поручениями Президента Российской
Федерации, Правительства Российской Федерации.
4. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Поэтому Вам нужно по возможности избегать поступления подобных заявлений от граждан и юридических лиц, а также не нарушать законные интересы граждан действием или бездействием.

К сожалению, следует признать, что подготовка большинства из перечисленных выше документов требует времени и, что немаловажно, специальных знаний и навыков. Было бы неразумно руководителю предприятия занимать этим лично, следовательно, нужно либо назначить (принять на работу) ответственного специалиста, либо заключить договор со специализированной организацией, оказывающей услуги в сфере защиты персональных данных. Получив подготовленный с учетом особенностей именно вашего предприятия комплект документов и план мероприятий, можно начинать действовать и полностью подготовиться к любой проверке на соблюдение требований ФЗ 152 “О персональных данных”.

(812)612-28-77