Составляем «Положение о защите персональных данных» (ч.2)

В этой статье мы продолжим рассказывать о том, как составить «Положение о защите персональных данных работников». Кстати, этот локальный акт Вы можете назвать и по-другому, ведь в законе не указано его точное название.

Статья 86 ТК РФ упоминает только, что работодателем должен быть создан документ, который устанавливает порядок обработки ПД работников, и с этим документом работников обязательно знакомят под роспись. Итак, продолжим.

Раздел «Защита персональных данных»

В этом разделе мы должны определить, что именно подлежит защите: носители ПД (документы и программы) и сама информация, и выявить факторы, которые могут потенциально угрожать носителям персональных данных.

Риск угрозы информационным ресурсам создают:

• стихийные бедствия;
• экстремальные ситуации;
• террористические действия;
• аварии технических средств и линий связи;
• заинтересованные и незаинтересованные в возникновении угрозы лица, не имеющие доступ к ПД.

Далее мы должны описать меры, которые приняты в компании для нейтрализации данных угроз. Меры можно условно разделить на те, которые направлены на защиту ПД внутри компании и меры защиты от внешнего доступа.

Внутренняя защита ПД может включать следующие меры:

• определение списка работников, которые работают с ПД;
• обоснованное распределение документов и информации между этими работниками;
• наличие шкафов, оборудования, специальных кабинетов для хранения ПД;
• наличие разграниченного доступа к электронным папкам или программам, система паролей;
• определение действий увольняющихся работников по передаче документов, содержащих ПД, другим лицам компании;
• ознакомление работников с требованиями по защите ПД;
• лица, которые имеют доступ к ПД, дают письменное обязательство о неразглашении ПД.

Обратите внимание, что со всех сотрудников, которые работают с персональными данными работников, нужно получить расписку (обязательство) о неразглашении ПД. Форму такой расписки Вы можете разработать самостоятельно и зафиксировать ее в приложении к данному локальному акту.

Вот пример обязательства, который использую я — Обязательство. Расписки хранятся с подлинником Положения, но не подшиваются к нему. Каждый новый работник, получающий доступ к ПД, пишет такую расписку.

Внешняя защита может быть обеспечена следующими мерами:

• Не посвящать посторонних людей в рабочие процессы, технологию составления, оформления, ведения и хранения документов.
• Установить видеонаблюдение.
• Политика «чистых столов».
• Не отвечать на вопросы, связанные с передачей ПД по телефону (факсу).
• Папки с документами хранить в металлических запираемых шкафах, поставить прочные металлические входные двери, кабинеты не оставлять без присмотра.

В случае если Вы пользуетесь услугами другой компании или физического лица, и по договору эти третьи лица должны иметь доступ к ПД, то обязательно в договор с ними нужно включить пункт о защите конфиденциальной информации и оформить обязательство о неразглашении ПД.

В этом же разделе можно прописать порядок действия должностных лиц, если обнаружен факт утечки, хищения или утери ПД,

Разделы «Права и обязанности субъектов ПД» и «Обязанности оператора».

В этих разделах используются нормы из третьей и четвертой главы Закона 152-ФЗ «О персональных данных». Выберите и зафиксируйте только те положения, которые применимы именно к Вашей компании. Конкретизируйте нормы закона. Чем более конкретными будут формулировки в Вашем локальном акте, тем легче пройти проверку на соблюдение норм 152-ФЗ.

Здесь можно зафиксировать, кто является ответственным лицом за организацию обработки ПД. Обычно это сам предприниматель или руководитель компании.

В следующей статье мы закончим разбирать составление ЛА о защите персональных данных.