• Журнал «Делопроизводство и документооборот на предприятии» май 2010
  • Рубрика Современное делопроизводство

Семинар о защите персональных данных состоялся: подводим итоги

  • Рейтинг 5
  • 0 комментариев
  • 9572 просмотра
Семинар Натальи Храмцовской «Защита персональных данных с точки зрения управления документами» состоялся! Предлагаем вашему вниманию ответы на некоторые вопросы, заданные его участниками, полученные нами отзывы и высказанные пожелания.


В самом конце марта мы провели анонсированный на страницах нашего журнала семинар Натальи Храмцовской «Защита персональных данных с точки зрения управления документами», участие в котором для наших подписчиков было льготным.

Так как в этот момент апрельский номер журнала уже был сдан в типографию, о данном мероприятии мы решили рассказать в майском номере, а именно – опубликовать ответы на некоторые вопросы, заданные участниками семинара, и отзывы, полученные нами по его окончании. Нам очень важно понимать, что вас интересует и как вы оцениваете наши старания.

Вопрос участника семинара
Свернуть Показать

Что, на Ваш взгляд, более правильно – внести изменения в действующие должностные инструкции работников или под роспись ознакомить их с вновь утвержденной Инструкцией о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, и почему?

В данном случае перед кадровой службой стоит следующая задача: для каждого сотрудника определить его права доступа к персональным данным, ответственность и получить от него расписку в том, что он ознакомился с правилами и порядком работы.

Как мне кажется, возможны три подхода к регламентации работы с персональными данными: либо составляется единый нормативный документ, либо вносятся изменения в должностные инструкции, либо используется «компромиссный подход», сочетающий два первых варианта. У каждого из перечисленных способов есть свои плюсы и минусы.

Разработка единого нормативного документа имеет довольно много плюсов. В первую очередь, так проще быстро закрыть вопрос, охватив всех сотрудников. Кроме того, проще вносить изменения, в т.ч. при перемещении сотрудников по служебной лестнице, и в какой-то степени удобнее объясняться с проверяющими. Данный подход особенно удобен, когда права и обязанности у сотрудников примерно одинаковые, но он будет не слишком хорошо работать, когда права и обязанности очень сильно различаются в зависимости от должности и/или могут со временем быстро изменяться.

Внесение дополнительных положений в должностные инструкции – здесь плюсом является возможность более точной регламентации прав и обязанностей сотрудников, а также «нетипичных» ситуаций. Минус же заключается в том, что если у всех вдруг изменяются условия работы с персональными данными, то придется создавать/переделывать много документов.

«Компромиссный подход» дает возможность объединить достоинства двух методов и в какой-то степени смягчить их недостатки. Можно, например, быстро разработать и ввести общую инструкцию, включив в нее положение о том, что некоторые вопросы работы с персональными данными могут быть уточнены в должностных инструкциях. Выбирать, как мне кажется, нужно тот вариант, который лучше соответствует особенностям конкретной организации и позволит решить задачу с минимальными трудозатратами и рисками.

Вопрос участника семинара
Свернуть Показать

Есть ли необходимость согласно Федеральному закону «О защите персональных данных» разрабатывать Положение о защите персональных данных на отдыхающих ЗАО «СКО «Адлеркурорт», срок пребывания которых не превышает нахождения в указанном объединении 21 день? Или Положение о защите персональных данных разрабатывается только в отношении постоянных работников?

Как показывает опыт, разработка таких документов должна вестись в самой организации, поскольку только вы сами сможете правильно описать ту практику, которая сложилась в деятельности вашей организации. Учтите, что организацию даже сильнее могут наказать за неисполнение собственного нормативного документа, чем за его отсутствие, поэтому в ваших же интересах описать в нормативном документе именно тот порядок работы, который вы на деле будете соблюдать.

Необходимо также учитывать практику, которая уже сложилась в вашем регионе, существующие риски проверок и штрафов и то, как решают вопрос защиты персональных данных аналогичные организации. Выбиваться из общего строя вредно.

Требования законодательства к защите персональных данных относятся не к любым персональным данным, а в первую очередь к тем, что хранятся в базах данных либо в бумажных персональных делах и картотеках, т.е. когда может быть быстро подобрана информация о человеке.

Если, скажем, персональные данные отдыхающих не вводятся в информационную систему, а хранятся в бумажных документах, которые не формируются в персональные дела, то они, строго говоря, под требования законодательства не подпадают (хотя во внутреннем нормативном документе и в этом случае я бы описала меры по их защите).

Далее следует иметь в виду, что, как показала судебная практика, типичная величина штрафа, налагаемого контролирующим органом, – 2000 рублей.

Что касается защиты персональных данных (далее – ПД) отдыхающих, то во внутреннем нормативном документе я бы обратила внимание на следующие моменты:

  • Какие ПД собираются и с какой целью. Лучше, если целью является оказание услуг согласно договору и никаким третьим лицам данные не передаются, – тогда отсутствует обязанность получать согласие отдыхающих на обработку их ПД. Если так не получится, то придется разработать текст согласия, который отдыхающие должны будут подписывать.
  • Когда заканчивается обработка ПД. В условие завершения обработки нужно не забыть включить истечение установленного срока хранения документов, содержащих ПД. Помните, что законодательство требует уничтожить ПД в течение трех дней с момента завершения их обработки.
  • Меры защиты. В вашем случае это доступ к ПД только уполномоченных руководством сотрудников, защищенное хранение бумажных и электронных документов и баз данных, закрытие доступа увольняющимся сотрудникам, своевременное уничтожение ПД.
  • Меры контроля. Кто, как, с какой периодичностью контролирует защищенность персональных данных. Порядок действий в случае утечки ПД или жалоб клиентов.

При разработке нормативных документов вам могут пригодиться следующие документы, которые доступны в сети Интернет:

  • Компания «LETA IT-company» подготовила и выложила на своем сайте в свободном доступе «Рекомендации по выполнению требований Федерального закона № 152-ФЗ «О персональных данных»». Адрес соответствующей страницы: http://www.leta.ru/library/methodological/id_477.html , прямая ссылка на документ: http://www.leta.ru/netcat_files/138/145/h_f0c99e2f5522d13bf53be0c1d259862c
  • В январе Минздравсоцразвития РФ согласовал типовую модель угроз с ФСТЭК, в соответствии с которой информационные системы персональных данных, обрабатывающие сведения о состоянии здоровья, классифицируются по классу «К3 специальная», т.е. требующие минимальных усилий по защите персональных данных. На сайте ведомства доступны следующие документы:
Свернуть Показать

Большое спасибо за организацию семинара по защите персональных данных. Мне стало совершенно очевидно, что работа с ПД – наиважнейший вопрос, которому российские компании уделяют незаслуженно мало внимания. Возможно, из-за отсутствия информации и, как следствие, непонимания своей ответственности и неосознания рисков. Поэтому подобные семинары крайне полезны с точки зрения донесения информации и ее разъяснения.

Хочу еще раз поблагодарить организаторов и лично Наталью Александровну за проделанную работу и, кроме того, хочу обратиться с просьбой. В архивном делопроизводстве есть тема, которая волнует, наверное, всех. Это сроки хранения документов. Как бы много ни было публикаций, как бы много ни проводилось семинаров, я думаю, все равно существует потребность в ознакомлении с принципами определения сроков хранения и в компетентных ответах на постоянно возникающие вопросы. Предлагаю организовать семинар по этой тематике. Уверена, что проблем с набором желающих не будет. Спасибо.

С уважением, Щербакова Елена,
специалист архива компании Troika Dialog Group
Свернуть Показать

По роду своей деятельности мне дважды удавалось посетить семинары Натальи Храмцовской, последний из которых состоялся 30.03.10 при организационной поддержке издательства «Бизнес-Арсенал» и журнала «Делопроизводство и документооборот на предприятии» на тему защиты персональных данных: законодательство, практика реализации, зарубежный и отечественный опыт.

Должна отметить, что Наталью Храмцовскую всегда отличает профессиональный подход к подготовке семинаров и глубокая продуманность вопросов освещаемой темы.

Подача материала была выстроена очень логично, с множеством примеров как из отечественной, так и из зарубежной практики. Специально разработанные методические материалы позволили слушателям не заниматься конспектированием, а сосредоточиться на излагаемом материале и делать необходимые пометки по разделам подготовленного текста.

С уважением, Дремина Ольга Леонидовна,
руководитель канцелярии Carlo Pazolini
на
Электронная подписка за 8400 руб. Печатная версия за YYY руб.

  1 голос

Нет комментариев
Свернуть форму комментария Комментировать

  • Добавить
Закрыть
Закрыть

  • Отправить
Закрыть

Подписка


на журналы


Все поля обязательны.
Закрыть

Задать вопрос для интервью
  • Отправить
9 Мая – Всероссийский праздник День победы.