Специалист по персональным данным

Сегодня мы раскроем тему: "Специалист по персональным данным", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

СОДЕРЖАНИЕ

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

МАТЕРИАЛЫ ПО ТЕМЕ

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Своевременно прекратить обработку персональных данных. Если цель обработки персональных данных достигнута или субъект отозвал свое согласие на их обработку, оператор должен прекратить обработку этих данных и удалить их в 30-дневный срок, если иной срок не определен в соглашении (ч. 4-5 ст. 21 закона о персональных данных).

Источник: http://www.garant.ru/actual/persona/obyazannosti/

Как специалисту по охране труда избегать разглашения персональных данных работников?

На предприятии был заслушан доклад руководителя службы охраны труда о состоянии травматизма, содержащий конкретные примеры несчастных случаев на производстве. Доклад был проиллюстрирован слайдами, в том числе фотографиями работников. Спустя какое-то время один из работников, чье фото использовалось для примера, обратился с жалобой в суд и государственную инспекцию труда. Среди прочего речь шла о нарушении права на неразглашение персональных данных.

Возможна ли такая ситуация? Могут ли быть привлечены к административной ответственности предприятие и его должностные лица?

Эксперт в сфере трудового законодательства и постоянный автор Наталья Агуреева рассказывает со страниц журнала «Охрана труда и пожарная безопасность» про законность сбора, хранения и использования персональных данных отделом по охране труда.

Персональными данными оперирую не только кадровики!

Читайте так же:  Сделать разрешение огнестрельное оружие

Персональные данные — это любая информация, относящаяся прямо или косвенно к физическому лицу (субъекту персональных данных). В том числе:

  • фамилия, имя, отчество;
  • биометрические персональные данные;
  • год, месяц и дата рождения;
  • место рождения, адрес;
  • семейное, социальное, имущественное положение;
  • сведения об образовании, профессии;
  • сведения о доходах.

Если мы говорим об охране труда, то персональные данные содержатся, например, в журналах инструктажей, в направлениях на медицинские осмотры и психиатрические освидетельствования, заключительных актах, заключениях и решениях медицинских комиссий, в картах СОУТ, а также в других документах. Они также содержатся в объяснительных, актах, в фото- и видеоматериалах.

Работник при приеме на работу знакомится с Положением о защите персональных данных, действующем в организации, а также подписывает согласие на обработку своих персональных данных.

Таким образом, с точки зрения действующего трудового законодательства и законодательства о защите персональных данных работник обязан предоставить свои достоверные персональные данные, а также подтвердить письменно разрешение, данное им работодателю на сбор, обобщение, хранение и уничтожение его персональных данных.

Если работник отказывается подписать согласие на обработку персональных данных, то его невозможно принять на работу.

Работодатель без согласия работника не может использовать его фамилию, имя, отчество даже для издания приказа. В соответствии с Законом № 152-ФЗ работодатель несет ответственность за использование персональных данных работника без его письменного согласия, разглашение персональных данных работника третьим лицам (ст. 13.11 КоАП РФ).

Работодатель обязан иметь разработанное и утвержденное Положение о защите персональных данных.

Персональные данные работника используют: руководитель подразделения (отдела) работника, отдел кадров, бухгалтерия, служба охраны труда, служба безопасности и т. д. Именно поэтому в компании должен быть утвержден (например, приказом) список лиц, допущенных к тем или иным персональным данным.

Специалист по охране труда, допущенный к обработке и использованию персональных данных, должен знать, что он может делать, а что ему делать запрещено.

Больше на эту тему, в том числе об ответственности за разглашение персональных данных отделом охраны труда, в выпуске журнала «Охрана труда и пожарная безопасность», 2019, №9.

Источник: http://otpb.com.ru/articles/kak-specialistu-po-ohrane-truda-izbegat-razglasheniya-personalnyh-dannyh-rabotnikov

Защита персональных данных — курсы повышение квалификации в Балашихе

«Национальная академия современных технологий» приглашает пройти повышение квалификации по программе «Защита персональных данных».

Специфика курса

Курс ориентирован на совершенствование профессиональных компетенций специалистов в сфере кадрового делопроизводства и информационной безопасности.

В ходе обучения слушатели разбирают общие вопросы персональных данных в системе документообороота, положения Федерального закона «О персональных данных», основные мероприятия по защите персональных данных, уровни защищенности и параметры технической защиты, порядок обработки и защиты персональных данных на аутсорсе, контроль за соблюдением законодательства.

Наша программа соответствует профстандартам и квалификационным требованиям и подойдет для эффективного развития профессиональных навыков специалиста.

Документы

По итогам курса слушатель получает удостоверение о повышении квалификации установленного образца.

Источник: http://nastobr.com/balashiha/uslugi/povyshenie-kvalifikatsii/deloproizvodstvo-upravlenie-personalom-pk/zashchita-personalnykh-dannykh-pk/

Персональные данные работника

Персональные данные – ключевые понятия

Работодатель сталкивается с вопросом о персональных данных постоянно.

Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные. Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.

Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.

Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.

Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.

Источник: http://profkadrovik.ru/articles/work-with-documents/personalnye-dannye-rabotnika/

Специалист по защите персональных данных

Страна размещения вакансии — Россия.

В резюме не указано, что вы готовы туда переехать.

Требуемый опыт работы: 1–3 года

Полная занятость, полный день

Мы создаём уникальные цифровые продукты в страховании, ломаем стереотипы и делаем страхование простым и понятным!

Мы практикуем TDD, не боимся фэйлов, а разбираем их на FailConf. TTM моментальный: сегодня ты пишешь код, завтра мы его уже тестим на бою. Фантастическое количество релизов, включающих десятки бизнес‑задач. Командная работа? Изи! Бизнес и IT работают вместе. Это ж вау! У нас бомбическая IT-культура и жизнь, которую мы создаём сами!

Вызовы рынка с которыми мы справились:

  1. Внедрили Hadoop c нуля;
  2. Первыми в России инсталлировали Oracle Exadata Cloud At Customer;
  3. Осуществили самое масштабное внедрение SAFe среди страховых компаний в России.

Мы развиваем собственные продукты, создаем лучшие решения, и нам в команду нужен грамотный и увлеченный cпециалист по защите персональных данных

У нас:

  • Разработка ведется по SAFe (Scaled Agile Framework);
  • Около 30-ти продуктовых команд на трех поездах, по 6-10 человек;
  • 2-х недельные спринты.

Наш идеальный кандидат:

  • Знает основные отечественные и международные стандарты по информационной безопасности;
  • Имеет опыт обследования порядка обработки ПДн, ИСПДн, принятие мер защиты ПДн;
  • Имеет опыт оценки актуальности угроз безопасности ПДн;
  • Имеет опыт разработки организационных и технических мероприятий по приведению в соответствие требованиям законодательства о ПДн и обеспечению; безопасности ПДн.

Плюсами будут:

  • Опыт проведения аудитов информационной безопасности;
  • Опыт подготовки локальных нормативных актов;
  • опыт оценки состояния информационной безопасности.

Предстоит заниматься:

  • Разработкой и контролем выполнения требований локальных нормативных актов Компании по информационной безопасности;
  • Оценкой рисков информационной безопасности в компании;
  • Контролем правильности предоставления доступа в информационной системы компании;
  • Проведением регулярного аудита подразделений компании на предмет соблюдения положений по защите ПДн;
  • Участием в организации защиты ПДн в компании;
  • Мониторингом изменений в законодательстве в области информационных технологий и информационной безопасности.

Условия:

  • Работа в IT-дирекции одной из крупнейших российских страховых компаний;
  • График 5/2 с 9:00 до 18:00;
  • Удобное расположение офиса: 5 минут от станции метро Белорусская;
  • Ежеквартальные премии за личные результаты, деятельности подразделения и годовой бонус за результаты деятельности Компании;
  • ДМС сразу после испытательного срока и расширенный пакет ДМС со стоматологией через 6 месяцев после прохождения срока испытания;
  • Возможность совершенствовать себя в одном из лучших Корпоративных университетов для прокачки навыков + бесплатный корпоративный доступ к электронной библиотеке Альпина;
  • Корпоративная сотовая связь;
  • Льготные страховые продукты (страхование имущества, автотранспорта, ВЗР);
  • Скидки на обучение в языковых школах Speak English и Skyeng – от 15 – 25%;
  • Корпоративные предложения от сетей фитнес-клубов: WORLD CLASS, Зебра, X-fit;
  • Скидки от партнеров на приобретение недвижимости, приобретение авто и многое другое;
  • И активная корпоративная жизнь со спортивными секциями: бассейн, бег, волейбол, йога и др.
Читайте так же:  Учетно профилактическое дело на несовершеннолетнего

Ещё у нас есть PS4 и Электроника, настольный футбол и дартс, а вот играем редко. Первостепенная цель — профессиональное развитие команды для того, чтобы решать все более и более сложные задачи и для того, чтобы улучшать возможности развития каждого человека в команде!

Источник: http://hh.ru/vacancy/34246162

Построение системы безопасности персональных данных в организации

Кадровый менеджмент

Информационная безопасность

Этот курс в нашем Центре
успешно закончили
351 человек!

Personal Data protection

Вы — руководитель или специалист информационной службы, IT-подразделения или подразделения по технической защите информации? Вы отвечаете за защиту персональных данных? Тогда курс «Построение системы безопасности персональных данных» именно для Вас!

Необходимость обеспечения безопасности персональных данных в наше время — объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Безопасность персональных данных обеспечивается и регулируется федеральным законом N 152-ФЗ «О персональных данных», ведь информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника — в средство мщения, в руках инсайдера — товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Хотите создать в Вашей организации максимально эффективную систему безопасности данных и защитить информационные ресурсы? Пройдите обучение у преподавателей-экспертов в Центре «Специалист». Вы научитесь выполнять требования нормативных правовых актов, руководящих и методических документов по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также сможете эффективно планировать и реализовывать комплекс мероприятий по минимизации рисков, связанных c обеспечением безопасности персональных данных в вашей компании.

Курс «Построение системы безопасности персональных данных» вместе с авторизованными курсами Microsoft, курсами SCP, Ethical Hacker входит в одно из наиболее актуальных направлений – «Информационная безопасность». Знания, полученные на курсах этого направления под руководством ведущих специалистов данной сферы, позволят Вам максимально эффективно обеспечить информационную безопасность компании, минимизировав риск потери ценнейшего современного ресурса – информации.

Аудитория курса:

  • Сотрудники ИТ подразделений обслуживающие информационные системы, обрабатывающие персональные данные – смогут узнать о правилах обработки ПДн
  • Сотрудники подразделений ИБ ответственные за обработку персональных данных – смогут понять как точно определить перечень необходимых к выполнению требований по защите ПДн и лежащую на них ответственность.
  • Сотрудники HR служб предприятий – узнать о дополнительных требованиях за рамками ТК выполнять которые им необходимо в целях обеспечения законности обработки ПДн
  • Разработчики информационных систем и программных продуктов – смогут узнать, как на стадии проектирования/разработки возможно снизить дальнейшие требования по защите и избежать излишних трат на защиту не снижая уровня защищённости ПДн.

Источник: http://www.specialist.ru/course/persod

Защита персональных данных службой информационной безопасности

«Кадровик. Кадровый менеджмент (управление персоналом)», 2012, N 12

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СЛУЖБОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Больше года прошло с момента принятия радикальных поправок в Закон о персональных данных летом 2011 г. За это время вышел ряд разъясняющих приказов и постановлений различных ведомств, государственные и частные организации имели возможность разобраться в тонкостях регламентирующих документов и накопить практический опыт по организации защиты персональных данных. В статье освещается опыт этой работы в сфере информационных технологий.

Часть 1 ст. 24 Конституции РФ запрещает «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия». Очевидно, что Ф. И.О., паспортные данные, номера полисов (ОМС, ОСАГО, Пенсионного фонда) и телефонов, адрес проживания и прочая подобная информация являются неотъемлемой частью частной жизни и подлежат защите от несанкционированного распространения. Однако в условиях современных реалий никого не удивляет возможность приобретения баз данных ГИБДД, МВД, других государственных учреждений и силовых ведомств, а также частных компаний, например сотовых операторов или интернет-магазинов. Тем не менее принятие Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011; далее — Закон N 152-ФЗ) было обусловлено в первую очередь стремлением законодателей и Правительства РФ устранить барьеры в сотрудничестве на различных уровнях со странами Европейского союза, Директива 95/46/ЕС которого запрещает передачу персональных данных (ПД) в страны с недостаточным уровнем их защиты.

Персональные данные, являясь по своей сути информацией, подпадают под действие такого вида деятельности, как информационная безопасность (ИБ), или защита информации. Подразделения ИБ организаций призваны обеспечить сохранность и защиту от несанкционированного доступа конфиденциальной информации (в том числе в электронном виде), которая составляет коммерческую или иную тайну. С этой целью службой ИБ проводится ряд организационных и инженерно-технологических мероприятий, например: определение политики ИБ предприятия; уточнение должностных инструкций имеющих доступ к конфиденциальной информации сотрудников организации; регламентация процессов обработки информации; установка и поддержка специальных аппаратных и программных комплексов.

Закон N 152-ФЗ рассматривает обработку ПД лишь в электронном виде, поэтому далее в статье будем рассматривать вопросы защиты ПД в свете информационных технологий (ИТ). Вообще же тема информационной безопасности достаточно сложная и с технологической, и с организационной точки зрения. Процессы обеспечения защиты информации освещаются в серии международных стандартов ИСО/ МЭК 27000 (ISO/IEC 2007), в частности в ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» и в соответствующем ему российском стандарте ГОСТ Р ИСО/МЭК 27001-2006 [1].

Итак, целью ИБ является обеспечение конфиденциальности, целостности и доступности информации. Процессы ИБ при применении информационных технологий используют среди прочего следующие технологические инструменты:

— средства защиты от несанкционированного доступа к данным;

— системы обнаружения и предотвращения вторжений;

— средства защиты от вредоносного программного обеспечения;

— средства защиты от утечки информации по техническим каналам.

Требования к специалистам по информационной безопасности

Вопросами ИБ призваны заниматься специалисты по информационной безопасности. Общероссийский классификатор специальностей по образованию (ОКСО) [2] содержит отдельную группу — «090000 Информационная безопасность». В эту группу входят следующие специальности, каждая из которых предполагает высшее специальное образование:

— «090102 Компьютерная безопасность»;

— «090103 Организация и технология защиты информации»;

— «090104 Комплексная защита объектов информатизации»;

— «090105 Комплексное обеспечение информационной безопасности автоматизированных систем»;

— «090106 Информационная безопасность телекоммуникационных систем»;

— «090107 Противодействие техническим разведкам».

Единый квалификационный справочник должностей руководителей, специалистов и служащих содержит особый раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации» [3]. В этом разделе представлены должностные обязанности, требования к знаниям и квалификации для следующих специалистов:

Читайте так же:  Продления разрешения на оружие какие надо документы

главный специалист по технической защите информации;

начальник отдела (лаборатории, сектора) по противодействию техническим разведкам;

начальник отдела (лаборатории, сектора) по технической защите информации;

Видео (кликните для воспроизведения).

специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;

специалист по противодействию техническим разведкам;

специалист по технической защите информации;

администратор по обеспечению безопасности информации;

инженер по технической защите информации;

инженер-программист по технической защите информации;

техник по технической защите информации.

Еще одним документом, содержащим различные требования к специалисту по ИБ, является профессиональный стандарт «Специалист информационной безопасности», разработанный АП КИТ [4]. Стандарт содержит пять квалификационных уровней, каждый из которых содержит обобщенное описание трудовой деятельности, требования к образованию, опыту работы, а также перечень выполняемых действий вместе с необходимыми знаниями и навыками. Такая связанная тройка «действия — знания — навыки» называется единицей профстандарта. Так, 3-й (по отраслевой рамке квалификаций, 6-й — по национальной) квалификационный уровень состоит из следующих единиц:

1. Организация установки и настройки оборудования технических и программно-аппаратных систем защиты информации.

2. Обновление программного обеспечения аппаратно-программных комплексов защиты информации.

3. Поддержание работоспособности технических и программно-аппаратных систем и средств защиты информации.

4. Управление системой защиты информации организации (подразделения, отдела, предприятия).

5. Организация оповещения о критических (чрезвычайных) событиях защиты информации.

6. Организация обслуживания сложного оборудования систем и средств защиты информации.

7. Обеспечение приема, монтажа и проведения испытаний технических и программно-аппаратных систем и средств защиты информации.

8. Участие в разработке регламентов и инструкций по защите информации в организации (подразделении, отделе, предприятии).

9. Обеспечение организационно-методической базы для реализации политик и регламентов защиты информации.

10. Аудит защиты информации в организации и ее структурных подразделениях.

11. Разработка предложений по совершенствованию системы защиты информации.

12. Организация и контроль ведения технической и отчетной документации.

Приведем для примера состав 7-й единицы в таблице.

Единица 6С_СИБ_7. Обеспечение приема, монтажа и проведения

испытаний технических и программно-аппаратных систем

и средств защиты информации

Организация приема и учета, монтажа технических и
программно-аппаратных систем и средств защиты
информации.
Проведение испытаний систем и средств защиты
информации.
Ввод в эксплуатацию по результатам испытаний систем
защиты информации.
Руководство проведением экспертного тестирования и
сбором замечаний пользователей информационной системы.
Формирование отчетной документации по результатам работ

Структура, состав и порядок монтажа технических и
программно-аппаратных систем и средств защиты
информации.
Порядок проведения испытаний средств защиты информации
и систем защиты информации в целом.
Область и специфика деятельности организации.
Принципы организации приемки и монтажа средств защиты
информации

Коммуникабельность в общении с поставщиками и
подчиненными.
Параметры систем защиты информации.
Чтение и понимание проектной документации на разработку
защиты информации.
Сбор и фиксация в ходе экспертного тестирования защиты
информации замечаний и пожеланий пользователей.
Применение инструментальных средств для составления
отчетности по результатам проведенного экспертного
тестирования

Также в профстандарте указано особое условие допуска к работе — наличие допуска при работе со сведениями, составляющими государственную тайну (в случаях, определенных в Инструкции по обеспечению режима секретности в Российской Федерации, утв. Постановлением Правительства РФ от 05.01.2004 N 3-1, и других руководящих документах). Секретность — одно из отличительных свойств работы сотрудников службы ИБ. Часто специалистам по ИБ приходится получать специальные допуски, проходить сертификацию, а в трудовом договоре всегда оговаривается обязанность сотрудника хранить в тайне сведения, доступ к которым он получил в ходе выполнения должностных обязанностей, в том числе и после прекращения трудовых отношений. Поэтому специалисты службы ИБ во многих организациях получают надбавку «за секретность».

Распределение прав и обязанностей

Однако не секрет, что далеко не каждая организация может себе позволить содержать штат специалистов по информационной безопасности. Поэтому функции по защите информации распределяются между другими специалистами в сфере ИТ: системными администраторами, администраторами баз данных, программистами, системными аналитиками, специалистами техподдержки. Так, в частности, системные администраторы и администраторы баз данных ответственны за разграничение прав в управляемых ими информационных системах. Системные администраторы также выполняют установку антивирусов, межсетевых экранов и других специальных программ, проводят настройку безопасности компьютеров пользователей и серверов. Программисты реализуют в своих приложениях алгоритмы шифрования и защиты данных. Системные аналитики могут осуществлять поверхностный аудит безопасности информационных систем и готовить соответствующие отчеты. Специалисты техподдержки осуществляют помимо прочего выдачу привилегий пользователям для эксплуатации прикладного программного обеспечения в соответствии с принятым в организации регламентом, включающим в себе корпоративную политику информационной безопасности.

Хотя защита ПД является частным случаем информационной безопасности в целом, Закон N 152-ФЗ оговаривает ряд специфических особенностей и регламентирует некоторые организационные мероприятия. Так, не подлежат обязательной защите обезличенные или общедоступные (например, выставленные в социальных сетях) данные. А срок хранения ПД ограничивается достижением цели их обработки, после чего эти данные должны быть уничтожены или обезличены. Собственно, о целях обработки ПД перед ее началом их субъект должен быть предварительно уведомлен и дать свое согласие (в письменном или электронном виде). Также он должен иметь возможность беспрепятственно ознакомиться с политикой предприятия или ведомства по защите ПД.

К организационным мерам относится обязательное назначение ответственного за организацию обработки ПД. Как правило, им назначается начальник службы ИБ или, если таковой на предприятии нет, службы ИТ. Ответственный дополняет политику информационной безопасности организационно-распорядительной документацией, в частности определяет процедуры обработки ПД, а также составляет перечни собственно необходимых предприятию ПД, информационных систем, содержащих ПД, потенциальных угроз их сохранности и сотрудников, имеющих доступ к ПД посредством информационных систем. В должностные инструкции таких работников должны быть внесены обязательства по соблюдению установленного порядка обработки ПД и его прекращения после расторжения трудового контракта.

Обучение операторов информационных систем — сотрудников, непосредственно осуществляющих обработку ПД, — является очень важным мероприятием в процессе организации защиты информации в целом и ПД в частности, т. к. такие специалисты, как правило, не имеют специальной подготовки в области ИБ, но им приходится взаимодействовать с зачастую весьма сложными аппаратно-программными комплексами. И именно операторы осуществляют львиную долю манипуляций с ПД. До них необходимо довести те положения регламентов, процедур, приказов, инструкций по ИБ, которые затрагивают их трудовые функции.

Читайте так же:  Хранение и использование персональных данных работников

С момента принятия Закона N 152-ФЗ в 2006 г. он дорабатывался и уточнялся с помощью внесения поправок, а также приказов и постановлений Правительства РФ, ФСБ, ФСТЭК, Минкомсвязи и Роскомнадзора. И этот процесс, надо полагать, еще не завершен. Но в целом положения Закона вместе с подзаконодательными актами укладываются в общемировую практику по осуществлению защиты информации.

1. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Введен в действие 01.02.2008. М.: Стандартинформ, 2008. 26 с.

2. Общероссийский классификатор специальностей по образованию (ОКСО): ОК 009-2003. Введен в действие 01.01.2004. НИИ ВО Минобрнауки России.

3. Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел «Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации». Утв. Приказом Минздравсоцразвития России от 22.04.2009 N 205 // Бюллетень трудового и социального законодательства Российской Федерации. 2009. N 5.

4. Профессиональные стандарты в области ИТ/АП КИТ. [Электронный ресурс] URL: apkit. ru/committees/education/meetings/standarts. php. (Дата обращения: 13.10.2012).

Источник: http://hr-portal.ru/article/zashchita-personalnyh-dannyh-sluzhboy-informacionnoy-bezopasnosti

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Автор: Алексей Родин
старший специалист по кадровому делопроизводству

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать

Персональные данные обрабатываются не в тех целях, на которое дано согласие

Читайте так же:  Как выгнать из дома нежеланного человека заговор

Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.

от 30 000 до 50 000 руб.

Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)

от 15 000 до 75 000 руб.

Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)

от 15 000 до 30 000 руб.

Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)

Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.

от 20 000 до 45 000 руб.

Нарушены условия защиты бумажных документов, содержащих персональные данные

Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.

от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
  • Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф: для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных. Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф: для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

  • включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
  • соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
  • добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
  • оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Видео (кликните для воспроизведения).

Источник: http://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Специалист по персональным данным
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here