В статье даны рекомендации о том, как самостоятельно организовать работу с персональными данными сотрудников, не прибегая к дорогостоящим услугам специалистов. Взяв за основу не раз опробованные на практике советы автора, вы будете знать, какие данные следует защищать, от кого и каким образом организовать защиту, какие документы составить что в них предусмотреть.
Если в компании нет лишних средств для того, чтобы обратиться к специалистам, которые организуют работу с персональными данными, или платить штрафы за нарушения требований закона в этой сфере, то делать все придется своими силами. Из статьи вы узнаете, на что необходимо обратить внимание, какие документы следует составить и какие сведения являются объектами защиты.
Кадровая служба любой организации независимо от организационно-правовой формы, ведомственной принадлежности и количества сотрудников еще в прошлом году обязана была привести обработку персональных данных (ПДн) своих работников в соответствие с нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и другими действующими нормативно-правовыми актами в области защиты ПДн. Как показывает статистика проверок, проведенных Роскомнадзором в 2010 г. и в первом квартале 2011 г., лишь немногие организации выполнили данную норму закона.
Приведем показательный пример.
Управление Роскомнадзора 1 по Саратовской области летом 2011 г. во время плановой выездной проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных выявило следующие нарушения:
- отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 181 Закона о ПДн);
- отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 181 Закона о ПДн);
- отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 181 Закона о ПДн);
- не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. Закона о ПДн);
- нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, далее – Положение);
- не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).
По результатам проверки компания была оштрафована на 5 000 рублей.
Нормативная база
Оговоримся сразу: статья посвящена исключительно организации работы с ПДн в кадровой службе компании. Обработка персональных данных с иной целью (исполнение обязательств по хозяйственным договорам с физическими лицами, создание клиентских баз, предоставление туристических, образовательных, страховых, медицинских и иных подобных услуг и т.п.) производится по несколько иным правилам и подразумевает другой алгоритм обработки и пакет документов, дополнительные меры защиты.
Для компаний, в которых ПДн обрабатываются с указанными целями, настоятельно рекомендуем не поддаваться соблазну сделать универсальную систему работы с ПДн «для всего» – ввиду различия алгоритмов работы с кадровой документацией и ПДн третьих лиц это неизбежно приведет к путанице и ступору. На наш взгляд, лучше сразу разделить эти алгоритмы и ввести отдельно систему работы с ПДн сотрудников и (в случае необходимости) – с ПДн клиентов и иных сторонних заинтересованных лиц.
Для перфекционистов, сильно продвинутых пользователей и тех, кто хочет максимально приблизиться к идеалу, рекомендуем найти и ознакомиться со следующими весьма любопытными документами:
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 15.02.2008;
- «Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 14.02.2008;
- «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства России от 17.11.2007 № 781;
- «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК РФ от 05.02.2010 № 58.
Там достаточно подробно, в том числе в схемах, даны ответы на все вопросы. Беда в том, что эти документы крайне тяжелы для чтения и понимания непрофессионалами (видимо, все же не следовало полностью доверять их разработку специалистам-криптографам из ФСБ).
Тем, у кого в штате найдется ветеран соответствующего подразделения ФСБ, ГРУ или СВР, вполне по силам разобраться в этом вопросе самостоятельно. Возможно, придется смириться с небольшими...
