Защита персональных данных работников

Персональные данные работников

Согласно стати 85 ТК РФ, работодатель имеет право собирать и обрабатывать определенный набор персональных данных (ПДн). Кадровая служба организация формирует личное дело сотрудника, включающее персональные данные. В первую очередь это базовые документы: паспорт или другой документ, подтверждающий личность работника (например, вид на жительство для иностранных граждан), СНИЛС, ИНН, анкета, автобиография, трудовой договор. документы, подтверждающие квалификацию, свидетельства о заключении брака, рождении детей.

В процессе работы создаются другие документы – трудовая книжка или современные электронные формы учета трудовой деятельности (СТД-Р, СТД-ПФР, СЗВ-ТД), личная карточка работника по форме Т-2, содержащая основные сведения о сотруднике.

Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (152-ФЗ) устанавливает четкую классификацию различных типов персональных данных, подразделяя их на категории.

• Общие. Включают фамилию, имя, отчество, дату рождения, адрес проживания и контактную информацию сотрудника.
• Специальные. Содержат сведения о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях и состоянии здоровья.
• Биометрические. Это отпечатки пальцев, радужная оболочка глаза, результаты ДНК-анализа и другие физиологические характеристики работника.
• Иные. Данные, не входящие в другие категории.

Каждая из этих категорий требует особого подхода к обработке и хранению, а также различного уровня защиты.

Угрозы персональным данным в организации

Руководители и специалисты по безопасности организации должны понимать и оценивать потенциальные риски, связанные с угрозой безопасности персональных данных сотрудников. Данные могут быть уничтожены, изменены, заблокированы, скопированы или распространены. Опасность представляют кибератаки, социальная инженерия, инсайдерские угрозы, способные нанести серьезный ущерб отдельным работникам и всей организации.

При определении угроз учитывается содержание персональных данных работников, характер и способ их обработки, а также другие факторы.

Риск утечки личной информации сотрудников из-за несанкционированного доступа возрастает при автоматизированной обработке. Потенциальную угрозу могут представлять скрытые механизмы программ, поскольку пользователь даже не подозревает об их существовании. Они могут стать инструментом для незаконного получения доступа к ПДн.

Классификация угроз основывается на потенциальном ущербе для организации - владельца ПДн и включает три категории:

• Первый тип. Включает риски для информационных систем с недокументированными уязвимостями на уровне операционных систем.
• Второй тип. Включает опасности, связанных с незадекларированными функциями в пользовательских приложениях.
• Третий тип. Относится к информационным комплексам, где есть любые незадекларированные возможности как в системных, так и в прикладных программах.

Для правильного выбора мер безопасности работодатель должен проанализировать возможные угрозы. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», устанавливает 4 уровня защищенности информации – от 1-го – самого низкого до 4-го – самого высокого. Градация учитывает тип угроз, категорию обрабатываемых данных, их количество.

Оценку потенциальных угроз и подбор оптимального уровня защиты организация может провести собственными силами. Однако обычному пользователю сложно самостоятельно выявить реальные риски информационной безопасности. Поэтому для определения угрозы безопасности персональных данных, необходимого уровня защищенности лучше привлечь профессионалов - лицензиата ФСТЭК на деятельность в сфере защиты данных. Компания УЦ ПРОФИ обладает всеми необходимыми лицензиями в данной области.

Обеспечение защиты персональных данных сотрудников

Методы защиты информации зависят от того, как обрабатываются ПДн работников. Для бумажных документов организовать защиту проще - нужно оборудовать охраняемые помещения, использовать сейфы, запирающиеся шкафы, чтобы исключить доступ посторонним.

В случае автоматизированной обработки ПДн организационные и технические меры устанавливает приказ ФСТЭК №21 от 18 февраля 2013 года.

При любом варианте обработки необходимо выполнить базовый набор действий. Разберем его пошагово:

Шаг 1. Назначить ответственного за обработку ПДн в организации

Этот сотрудник будет координировать процесс обеспечения безопасности информации. Его обязанности необходимо зафиксировать в трудовом соглашении или должностном регламенте, чтобы в случае нарушений можно было применить дисциплинарные взыскания. Статья 18.1 152-ФЗ требует, чтобы такой специалист прошел инструктаж по нормативной базе, касающейся защиты ПДн.

Шаг 2. Составить перечень ПДн сотрудников

Определить цели обработки ПДн, перечень необходимых персональных данных работников, их категорию, способы обработки для каждой цели.

Шаг 3. Разработать документы по защите персональных данных в организации

Основные документы:

• План мероприятий по обеспечению защиты персональных данных
• Приказ о защите персональных данных работников, устанавливающий доступ, процедуры работы с информацией.
• Положение о защите персональных данных работников, где подробно описываются категории обрабатываемых данных, меры по их защите, права и обязанности работников. Положение должно быть доступно для ознакомления всеми сотрудниками.
• Акт оценки потенциального ущерба физическим лицам в случае неправомерных действий с их конфиденциальными данными.
• Политику оператора в отношении обработки ПДн. Этот документ организация должна разместить в открытом доступе, чтобы каждый желающий мог с ним ознакомиться.

Шаг 4. Информирование Роскомнадзора

Согласно статье 22 152-ФЗ до начала любых операций с ПДн организации обязаны зарегистрироваться как операторы ПД в специальном реестре Роскомнадзора. Без уведомления можно обрабатывать 3 вида ПДн:

1. Если они являются частью государственной информационной системы, направленной на поддержание национальной безопасности и порядка в обществе.
2. Обрабатываемых вручную, без применения компьютерных технологий.
3. Если их обработка проводится с целью обеспечения защищенности транспортной инфраструктуры.

Уведомления можно направить:

• традиционной почтой в бумажном формате;
• заполнив электронную форму на официальном портале Роскомнадзора и подписав усиленной квалифицированной электронной подписью
• через персональный аккаунт портала Госуслуг, привязанный к организации.

Шаг 5. Обеспечить сохранность ПДн работников

Руководство самостоятельно выбирает способы защиты информации. Защита организации, ее сотрудников от потенциальных угроз требует постоянного обновления политик безопасности, обучения сотрудников, применения безопасного программного обеспечения, систематических проверок корректности обращения с личной информацией.

Сделать качественный анализ потенциальных угроз, выбрать оптимальные организационные и технологические решения для защиты данных лучше с помощью профессионалов. Компания УЦ ПРОФИ более 10 лет успешно реализует проекты в области обеспечения безопасности ПДн сотрудников организаций различных отраслей и масштабов кадрового штата.

Ответственность за нарушения, предусмотренная трудовым законодательством

За нарушение правил работы с персональными данными предусмотрена ответственность. Согласно статье 90 Трудового кодекса (ТК РФ), к сотрудникам могут быть применены различные виды взысканий: дисциплинарные меры, штрафы, административное и уголовное наказание. Порядок привлечения к ответственности регулируется ТК РФ и другими федеральными нормативными актами.

Если по вине организации произошла утечка или неправомерное использование личных данных сотрудника, пострадавший имеет право требовать полного возмещения убытков. Закон позволяет сотруднику добиваться денежной компенсации за моральный ущерб, связанный с нарушением конфиденциальности его персональных данных.

Если организация понесла убытки из-за штрафа или выплатила компенсацию сотруднику, согласно 39 главы ТК РФ она может взыскать эти расходы с виновных в неправильном обращении с личной информацией. Кроме того, ТК РФ предусматривает прекращение трудовых отношений с сотрудником, если он распространил конфиденциальные сведения, включая ПДн, доступ к которым он получил при выполнении должностных обязанностей.

Преимущества обращения в УЦ ПРОФИ

Наша компания предлагает комплексный подход к организации системы защиты персональных данных сотрудников, основанный на многолетнем опыте успешной реализации проектов различной сложности.

Мы выстраиваем целостную систему информационной безопасности – разрабатываем пакеты необходимых документов, определяем уровень защищенности данных, внедряем технические решения.

Преимущества сотрудничества с нами:

• индивидуальный подход;
• сертифицированные специалисты с практическим опытом;
• использование проверенных технологий и методов защиты данных;
• соответствие требованиям законодательства;
• постоянная техническая поддержка, консультации.

Выбирая нас в качестве партнера, вы получаете надежную защиту персональных данных ваших сотрудников.