ОБРАЗОВАТЕЛЬНЫЙ ПРОЕКТ "НАУКА и БИЗНЕС"
представляет
цикл статей по направлению управление персоналом:


О защите персональных данных


Все организации собирают, хранят и используют сведения о своих сотрудниках. Трудовые отношения между работодателем и работником, взаимодействие с партнерами, клиентами и другими участниками бизнес процессов неразрывно связано с необходимостью использования персональных данных работника. Данные действия работодателя закон называет «обработкой персональных данных». А организации, занимающиеся обработкой персональные данных называются операторами по обработке персональных данных.

Согласно ст. 3 Федерального закона «О персональных данных»:

персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К персональным данным относятся имя и фамилия, номера мобильных телефонов и паспортные данные, адрес электронной почты, а также множество другой информации, без которой невозможно вести трудовые и деловые отношения с человеком.

обработка персональных данных — это действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Однако практика проведения кадрового аудита в организациях показывает, что даже в отношении обработки персональных данных своих работников работодатель не идет далее подписанного и помещенного в личное дело работника согласия об обработке его персональных данных. Лишь немногие идут дальше и утверждают свое Положение об обработке персональных данных!

Считаю будет не лишним еще раз вспомнить порядок организации работы в этом направлении, вот примерный алгоритм действий для руководителя компании.

Алгоритм действий
по организации защиты персональных данных в компании

Этап 1.

Проведение комплексного обследования всех персональных данных, обрабатываемых в ходе повседневной деятельности и составление перечня персональных данных (далее – ПДн).

Данную информацию, для удобства работы с ней можно представить в форме таблицы, к примеру:

№ п/п Структурное подразделение компании/сторонняя организация Ответственое лицо по сбору и обработке ПДн Цель получения ПДн Основание получения ПДн Перечень обрабатываемых ПДн Сроки обработки и хранения ПДн
1 - - - - - - -

Этап 2.

Уведомление Роскомнадзора об обработке персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом, также может быть направлено и в электронной форме (уведомление подписывается электронной цифровой подписью).

Форма уведомления об обработке (намерении осуществлять обработку) персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346 "Об утверждении административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных".

Вместе с тем Федеральный Закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" разрешает оператору ПДн не уведомлять Роскомнадзор об обработке (намерении осуществлять обработку) персональных данных в случаях, когда:

  • субъектов персональных данных связывают с оператором ПДн исключительно трудовые отношения;
  • персональные данные получены оператором в связи с заключением договора с субъектом ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения иных договоров с субъектом ПДн
  • субъектами ПДн являются члены общественного объединения или религиозной организации, действующих в соответствии с законодательством РФ и обрабатывающих соответствующие персональные данные для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без письменного согласия субъектовПДн
  • персональные данные являются общедоступными;
  • персональные данные необходимы для однократного пропуска субъекта ПДн на территорию оператора;
  • персональные данные включены в ИСПДн, имеющие статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
  • персональные данные обрабатываются без использования средств автоматизации;
  • включающие в себя только фамилию, имя, отчество субъекта ПДн.

Этап 3.

Разработка минимально необходимых локальных организационно-нормативных документов:

  • положения о порядке обработки и защите персональных данных;
  • политики организации в области обработки и защиты персональных данных;
  • списка работников, допущенных к обработке персональных данных;
  • формы журнала обращений по ознакомлению с персональными данными;
  • формы согласия на обработку персональных данных работников организации;
  • формы обязательства о неразглашении;
  • инструкции о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • инструкции пользователя, осуществляющего обработку персональных данных на объектах вычислительной техники;
  • инструкции по проведению мониторинга информационной безопасности и антивирусного контроля;
  • инструкции по организации парольной защиты.

Этап 4.

Разработка и издание приказа "О порядке обработки и защите персональных данных в организации".

В содержание приказа должно входить:

  • возложение персональной ответственности на определенный круг лиц за организацию защиты персональных данных;
  • назначение должностных лиц, занимающихся обработкой персональных данных;
  • назначение лица, ответственного за техническое администрирование организации защиты персональных данных;
  • утверждение локальных организационно-нормативных документов, разработанных на Этапе 3.

Этап 5.

Ознакомление всех ответственных и заинтересованных лиц организации с документами по обработке и защите персональных данных.

  • Ознакомление под роспись с приказом "О порядке обработки и защите персональных данных в организации" лиц, ответственных за организацию защиты персональных данных и сотрудников допущенных к их обработке;
  • Ознакомление всех сотрудников организации с Положением о порядке обработки и защите персональных данных;
  • Подписание всеми работниками организации Согласия на обработку их персональных данных;
  • Подписание должностными лицами, на которых возложены обязанности по обработке персональных данных Обязательства о неразглашении данных, ставших известных им в ходе исполнения должностных обязанностей;
  • Размещение Политики организации в области обработки и защиты персональных данных в местах доступных для ознакомления всех сотрудников организации.

Лишь организовав исполнение в своей организации всех пяти этапов предложенных в этой статье, работодатель может быть относительно спокоен в том, что он предпринял минимально необходимый перечень мер по защите персональных данных, обрабатываемых без использования средств автоматизированной обработке.

Автоматизированная же обработка персональных данных предполагает принятие еще целого ряда дополнительных мер, в том числе и технических, но это уже предмет рассмотрения для следующей статьи.

КТО Я


Я, Шадрин Виталий Борисович, окончил Военно-космическую академию в г. Санкт-Петербурге.

Десять лет служил в Вооруженных силах России на космодроме Плесецк.

С 2000 года в таможенных органах начал постигать науку работы с персоналом. Там уже в 2001 году вводился стандарт ИСО 9001-2000, а с 2004 года начали формироваться Ассессмент-центры, или центры оценки(от англ. assessment center) персонала.

Являюсь сооснователем стартап - проекта "Образовательный проект НАУКА и БИЗНЕС".

Начинал карьеру «кадровика» с ведения кадрового учета, принимал активное участие во введении стандарта менеджмента качества ИСО 9001-2000, в рамках этой работы являлся одним из разработчиков «Методики оценки штатной численности организации», три года был связан с аудиторской работой кадрового учета. Шесть лет руководил кадровой службой организации насчитывающей более 1200 человек, в эти же годы являлся руководителем центра оценки персонала.

Создал с нуля проект КАДРЫ, в рамках которого оказываются услуги бизнесу по кадровому аудиту, аутсорсингу работы с персоналом, подбору персонала, обучению и оценке квалификаций.

Имею специальное звание полковник таможенной службы, квалификационное звание по работе с персоналом МАСТЕР, являюсь экспертом ЮЦНОКПО по аккредитации образовательных программ образовательных организаций, имею сертификат компетентности аудитора ИСО 9001-2015(ISO 9001:2015) Рег.№ BSS.RU.03.003.PO13285.

С уважением, Виталий Борисович Шадрин

ХОТИТЕ СТАТЬ ПРОФЕССИОНАЛЬНЫМ КАДРОВИКОМ?

ПРИОБРЕТАЙТЕ МОЙ КУРС - СПЕЦИАЛИСТ ПО УПРАВЛЕНИЮ ПЕРСОНАЛОМ