• Журнал «Кадровая служба и управление персоналом предприятия» март 2012
  • Рубрика Правовое обеспечение деятельности

Как организовать работу с персональными данными в кадровых подразделениях

  • 0 комментариев
В статье даны рекомендации о том, как самостоятельно организовать работу с персональными данными сотрудников, не прибегая к дорогостоящим услугам специалистов. Взяв за основу не раз опробованные на практике советы автора, вы будете знать, какие данные следует защищать, от кого и каким образом организовать защиту, какие документы составить что в них предусмотреть.


Если в компании нет лишних средств для того, чтобы обратиться к специалистам, которые организуют работу с персональными данными, или платить штрафы за нарушения требований закона в этой сфере, то делать все придется своими силами. Из статьи вы узнаете, на что необходимо обратить внимание, какие документы следует составить и какие сведения являются объектами защиты.

Кадровая служба любой организации независимо от организационно-правовой формы, ведомственной принадлежности и количества сотрудников еще в прошлом году обязана была привести обработку персональных данных (ПДн) своих работников в соответствие с нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и другими действующими нормативно-правовыми актами в области защиты ПДн. Как показывает статистика проверок, проведенных Роскомнадзором в 2010 г. и в первом квартале 2011 г., лишь немногие организации выполнили данную норму закона.

Приведем показательный пример.

Пример 1
СвернутьПоказать

Управление Роскомнадзора1 по Саратовской области летом 2011 г. во время плановой выездной проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных выявило следующие нарушения:

  • отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 181 Закона о ПДн);
  • отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 181 Закона о ПДн);
  • отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 181 Закона о ПДн);
  • не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. Закона о ПДн);
  • нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, далее – Положение);
  • не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).

По результатам проверки компания была оштрафована на 5 000 рублей.

Нормативная база

Оговоримся сразу: статья посвящена исключительно организации работы с ПДн в кадровой службе компании. Обработка персональных данных с иной целью (исполнение обязательств по хозяйственным договорам с физическими лицами, создание клиентских баз, предоставление туристических, образовательных, страховых, медицинских и иных подобных услуг и т.п.) производится по несколько иным правилам и подразумевает другой алгоритм обработки и пакет документов, дополнительные меры защиты.

Для компаний, в которых ПДн обрабатываются с указанными целями, настоятельно рекомендуем не поддаваться соблазну сделать универсальную систему работы с ПДн «для всего» – ввиду различия алгоритмов работы с кадровой документацией и ПДн третьих лиц это неизбежно приведет к путанице и ступору. На наш взгляд, лучше сразу разделить эти алгоритмы и ввести отдельно систему работы с ПДн сотрудников и (в случае необходимости) – с ПДн клиентов и иных сторонних заинтересованных лиц.

Для перфекционистов, сильно продвинутых пользователей и тех, кто хочет максимально приблизиться к идеалу, рекомендуем найти и ознакомиться со следующими весьма любопытными документами:

  1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 15.02.2008;
  2. «Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 14.02.2008;
  3. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства России от 17.11.2007 № 781;
  4. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК РФ от 05.02.2010 № 58.

Там достаточно подробно, в том числе в схемах, даны ответы на все вопросы. Беда в том, что эти документы крайне тяжелы для чтения и понимания непрофессионалами (видимо, все же не следовало полностью доверять их разработку специалистам-криптографам из ФСБ).

Вы видите начало этой статьи, чтобы читать всё


на
Электронная подписка за 8400 руб. Печатная версия за YYY руб.
за 300 руб.

  нет голосов

Закрыть
Закрыть

  • Отправить
Закрыть

Подписка


на журналы

Вниманию тех, кто оформил подписку через ООО «Межрегиональное агентство подписки» (ООО «МАП»): важная информация для вас размещена здесь.

Все поля обязательны.
Закрыть

Задать вопрос для интервью
  • Отправить
9 Мая – Всероссийский праздник День победы.