Защита персональных данных сотрудника: пошаговая инструкция

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных».