Грамотная подготовка локальных актов предотвратит утечку персданных работников: советы эксперта

Формальный подход к подготовке локальных нормативных актов может обернуться для компании серьезными штрафами, а в ряде случаев даже уголовной ответственностью должностных лиц. Как мы уже писали в нашем Блоге, особенно строгие меры применяются к тем, кто допускает нарушения при обработке персональных данных работников.

Напомним, что общие требования при обработке персональных данных работника и гарантии их защиты определены в статье 86 Трудового кодекса РФ.

Марина Прыгунова, юрист практики интеллектуальной собственности Capital Legal Services, поделилась с MDS Media советами о том, как грамотно подойти к подготовке локальных нормативных актов (ЛНА), устанавливающих порядок работы с персональными данными (ПД) в компании.

Защитить персональные данные нужно до утечки

Здесь лучше начать с подготовки локальных нормативных актов или их доработки в соответствии с Федеральным законом №152-ФЗ «О персональных данных». 

Они закроют сразу несколько потребностей:

• создание понятной системы работы с ПД в компании, распределение полномочий;

• обучение сотрудников работе с ПД, чтобы исключить «случайную» утечку данных по незнанию;

• превенция утечек ПД по злостному умыслу работника (под страхом наступления ответственности, упомянутой в локальных актах работодателя).

Следует определить политику оператора в отношении ПД

Обычно это происходит с помощью Положения об обработке ПД. В нем прямо указаны меры защиты данных в компании, порядок доступа к ПД и обязанности работников для конфиденциальности.

Стоит назначить ответственного за организацию обработки ПД и утвердить подробную должностную

В  зависимости от уровня защищенности ПД может дополнительно потребоваться назначение лица, ответственного за безопасность ПД в информационной системе (это, как правило, системный администратор) или даже создание отдела по информационной безопасности.

В документах не стоит ограничиваться общими фразами

Условия обработки ПД должны быть строго конкретизированы — вплоть до разграничения уровня доступа в зависимости от должности сотрудника, установления многоступенчатой процедуры доступа и сроков.

Каждый работник должен быть письменно ознакомлен с Положением и с каждой его новой версией

Дополнительно следует указать обязанности сотрудника о соблюдении конфиденциальности ПД — это может быть в трудовом договоре или в дополнительном соглашении к нему, в NDA или Обязательстве о соблюдении конфиденциальности персональных данных.

Подробнее о ЛНА как эффективном инструменте регулирования бизнес-процессов вы узнаете на курсе MDS «‎Локальные нормативные акты».

В феврале вы можете получить этот курс в подарок — при покупке любого другого образовательного продукта MDS стоимостью от 30 000 рублей.