Воскресенье, 22 декабря 2024 18 +  RSS
Воскресенье, 22 декабря 2024 18 +  RSS
Популярно
1:00, 24 ноября 2013

Составляем «Положение о защите персональных данных» (ч.2)


В этой статье мы продолжим рассказывать о том, как составить «Положение о защите персональных данных работников». Кстати, этот локальный акт Вы можете назвать и по-другому, ведь в законе не указано его точное название.

Статья 86 ТК РФ упоминает только, что работодателем должен быть создан документ, который устанавливает порядок обработки ПД работников, и с этим документом работников обязательно знакомят под роспись. Итак, продолжим.

Раздел «Защита персональных данных»

В этом разделе мы должны определить, что именно подлежит защите: носители ПД (документы и программы) и сама информация, и выявить факторы, которые могут потенциально угрожать носителям персональных данных.

Риск угрозы информационным ресурсам создают:

  • стихийные бедствия;
  • экстремальные ситуации;
  • террористические действия;
  • аварии технических средств и линий связи;
  • заинтересованные и незаинтересованные в возникновении угрозы лица, не имеющие доступ к ПД.

Далее мы должны описать меры, которые приняты в компании для нейтрализации данных угроз. Меры можно условно разделить на те, которые направлены на защиту ПД внутри компании и меры защиты от внешнего доступа.

Внутренняя защита ПД может включать следующие меры:

  • определение списка работников, которые работают с ПД;
  • обоснованное распределение документов и информации между этими работниками;
  • наличие шкафов, оборудования, специальных кабинетов для хранения ПД;
  • наличие разграниченного доступа к электронным папкам или программам, система паролей;
  • определение действий увольняющихся работников по передаче документов, содержащих ПД, другим лицам компании;
  • ознакомление работников с требованиями по защите ПД;
  • лица, которые имеют доступ к ПД, дают письменное обязательство о неразглашении ПД.

Обратите внимание, что со всех сотрудников, которые работают с персональными данными работников, нужно получить расписку (обязательство) о неразглашении ПД. Форму такой расписки Вы можете разработать самостоятельно и зафиксировать ее в приложении к данному локальному акту.

Вот пример обязательства, который использую я — Обязательство. Расписки хранятся с подлинником Положения, но не подшиваются к нему. Каждый новый работник, получающий доступ к ПД, пишет такую расписку.

Внешняя защита может быть обеспечена следующими мерами:

  • Не посвящать посторонних людей в рабочие процессы, технологию составления, оформления, ведения и хранения документов.
  • Установить видеонаблюдение.
  • Политика «чистых столов».
  • Не отвечать на вопросы, связанные с передачей ПД по телефону (факсу).
  • Папки с документами хранить в металлических запираемых шкафах, поставить прочные металлические входные двери, кабинеты не оставлять без присмотра.

В случае если Вы пользуетесь услугами другой компании или физического лица, и по договору эти третьи лица должны иметь доступ к ПД, то обязательно в договор с ними нужно включить пункт о защите конфиденциальной информации и оформить обязательство о неразглашении ПД.

В этом же разделе можно прописать порядок действия должностных лиц, если обнаружен факт утечки, хищения или утери ПД,

Разделы «Права и обязанности субъектов ПД» и «Обязанности оператора».

В этих разделах используются нормы из третьей и четвертой главы Закона 152-ФЗ «О персональных данных». Выберите и зафиксируйте только те положения, которые применимы именно к Вашей компании. Конкретизируйте нормы закона. Чем более конкретными будут формулировки в Вашем локальном акте, тем легче пройти проверку на соблюдение норм 152-ФЗ.

Здесь можно зафиксировать, кто является ответственным лицом за организацию обработки ПД. Обычно это сам предприниматель или руководитель компании.

В следующей статье мы закончим разбирать составление ЛА о защите персональных данных.

Об авторе: Анна Славинская

Анна Славинская, кадровик-практик. Личный сайт www.slavianna.ru с бесплатными материалами. Группа ВК https://vk.com/kadrydoc отвечаю на вопросы в реальном времени.

Обсуждение: 3 комментария
  1. Наталия:

    Добрый день! Скажите,пожалуйста, а куда я, являясь предпринимателем, должна передать документы, содержащие ПД, при прекращении деятельности. Спасибо!

    Ответить
    1. Анна Славинская:

      Все документы, которые нужно хранить длительно (а все кадровые документы имеют срок хранения 75 лет), при ликвидации организации и при прекращении деятельности ИП сдаются в муниципальный архив на хранение.
      Подробнее о том, как и где хранятся документы, читайте в новых декабрьских статьях.

      Ответить
  2. Галина:

    Спасибо большое! За востребованную статью по составлению локальных актов о защите персональных данных.

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

© 2012 - 2024 Энциклопедия начинающего предпринимателя