Что подразумевается под защитой персональных данных? Не секрет, что персданные – это личная и семейная информация работника, которая становится достоянием работодателя в силу, заключенного между ними трудового договора. В свою очередь работодатель обязан позаботиться о сохранности полученных сведений. Совокупность мер, предпринимаемых для этого, является защитой персональных данных. ФЗ № 152 регулирует данную сферу. Подробнее – в материале.
Понятие персинформации
Действительно, сведения о сотрудниках, поступившие в распоряжение администрации организации, являются персональными данными в соответствии с законодательством.
Что это за сведения? Это информация из документов работника, предъявляемых им работодателю, при заключении трудового договора. Напомним, что при приеме на работу будущий сотрудник предъявляет ряд документов, подчиняясь требованиям Трудового кодекса. К ним, в частности, относится (ст. 65 ТК РФ):
- паспорт (другой документ, удостоверяющий личность);
- трудовая книжка (если данное место работы для сотрудника не первое);
- пенсионное свидетельство (при его наличии);
- документы об образовании, например, диплом ВУЗа (если работа требует определенной квалификации и знаний).
Подробнее об этом см. «Документы, требуемые при трудоустройстве сотрудника».
Важно понимать, что защита персональных данных работника включает в себя охрану не только сведений, предоставленных сотрудником, но и информацию, образовавшуюся в ходе его работы в организации. В частности, к ней относится информация о размере его заработка (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). Отметим, что занимается защитой персональных данных Роскомнадзор – государственный орган, контролирующий данную сферу.
Конкретные действия
Начать мероприятия по охране персданных следует с разработки и утверждения специального Положения о работе с персональной информацией сотрудников. После утверждения локального акта руководителем предприятия с документом нужно ознакомить работников (ст. 8, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».
Следующий этап пошаговой инструкции о защите персональных данных в организации – назначение ответственного сотрудника. Обычно кандидатуру выбирают из сотрудников отдела кадров, подразделения, которое чаще других использует персональные сведения работников.
Подходящего работника, способного исполнять данную функцию, назначают приказом директора (ч. 5 ст. 88 ТК РФ). Назначив ответственного, понятно, куда обращаться за защитой персональных данных. Этот работник не только отвечает за сохранность персинформации работников, но и несет за это ответственность, вплоть до уголовной.
Конечно, конкретные меры по обеспечению сохранности данных персонала предусмотрены Законом № 152-ФЗ (ст. 19 Закона). Используя их в качестве шаблона, можно разработать свою систему безопасности приватной информации.
При ее разработке нужно обратить внимание на обработку персинформации. Именно в ходе отдельных этапов возможна утрата и разглашение сведений. К ним относится (п. 6 требований, утв. постановлением Правительства от 01.11.2012 № 1119):
- внесение изменений;
- копирование;
- уничтожение;
- распространение и т.д.
В зависимости от вида угрозы, которой может подвергаться информация, выбирают конкретные средства для защиты персональных данных. В образовательной организации свои риски разглашения сведений, на промышленном предприятии – другие. Для выбора необходимо руководствоваться нормативными актами ФСБ и ФСТЭК (п. 4, 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119).
Также уровень защищенности подбирают в зависимости от категории охраняемых данных и количества сотрудников. Законодательством установлены 4 уровня защиты, в соответствии с которыми принимаются соответствующие меры защиты систем обработки персональных персданных (п. 13-16 требований, утв. постановлением Правительства от 01.11.2012 № 1119). К ним, например, относятся (приказ ФСТЭК от 18.02.2013 № 21):
- обеспечение безопасности помещений, где хранятся данные;
- назначение ответственных лиц и т.д.