В этой статье мы продолжим рассказывать о том, как составить «Положение о защите персональных данных работников». Кстати, этот локальный акт Вы можете назвать и по-другому, ведь в законе не указано его точное название.
Статья 86 ТК РФ упоминает только, что работодателем должен быть создан документ, который устанавливает порядок обработки ПД работников, и с этим документом работников обязательно знакомят под роспись. Итак, продолжим.
Раздел «Защита персональных данных»
В этом разделе мы должны определить, что именно подлежит защите: носители ПД (документы и программы) и сама информация, и выявить факторы, которые могут потенциально угрожать носителям персональных данных.
Риск угрозы информационным ресурсам создают:
- стихийные бедствия;
- экстремальные ситуации;
- террористические действия;
- аварии технических средств и линий связи;
- заинтересованные и незаинтересованные в возникновении угрозы лица, не имеющие доступ к ПД.
Далее мы должны описать меры, которые приняты в компании для нейтрализации данных угроз. Меры можно условно разделить на те, которые направлены на защиту ПД внутри компании и меры защиты от внешнего доступа.
Внутренняя защита ПД может включать следующие меры:
- определение списка работников, которые работают с ПД;
- обоснованное распределение документов и информации между этими работниками;
- наличие шкафов, оборудования, специальных кабинетов для хранения ПД;
- наличие разграниченного доступа к электронным папкам или программам, система паролей;
- определение действий увольняющихся работников по передаче документов, содержащих ПД, другим лицам компании;
- ознакомление работников с требованиями по защите ПД;
- лица, которые имеют доступ к ПД, дают письменное обязательство о неразглашении ПД.
Обратите внимание, что со всех сотрудников, которые работают с персональными данными работников, нужно получить расписку (обязательство) о неразглашении ПД. Форму такой расписки Вы можете разработать самостоятельно и зафиксировать ее в приложении к данному локальному акту.
Вот пример обязательства, который использую я — Обязательство. Расписки хранятся с подлинником Положения, но не подшиваются к нему. Каждый новый работник, получающий доступ к ПД, пишет такую расписку.
Внешняя защита может быть обеспечена следующими мерами:
- Не посвящать посторонних людей в рабочие процессы, технологию составления, оформления, ведения и хранения документов.
- Установить видеонаблюдение.
- Политика «чистых столов».
- Не отвечать на вопросы, связанные с передачей ПД по телефону (факсу).
- Папки с документами хранить в металлических запираемых шкафах, поставить прочные металлические входные двери, кабинеты не оставлять без присмотра.
В случае если Вы пользуетесь услугами другой компании или физического лица, и по договору эти третьи лица должны иметь доступ к ПД, то обязательно в договор с ними нужно включить пункт о защите конфиденциальной информации и оформить обязательство о неразглашении ПД.
В этом же разделе можно прописать порядок действия должностных лиц, если обнаружен факт утечки, хищения или утери ПД,
Разделы «Права и обязанности субъектов ПД» и «Обязанности оператора».
В этих разделах используются нормы из третьей и четвертой главы Закона 152-ФЗ «О персональных данных». Выберите и зафиксируйте только те положения, которые применимы именно к Вашей компании. Конкретизируйте нормы закона. Чем более конкретными будут формулировки в Вашем локальном акте, тем легче пройти проверку на соблюдение норм 152-ФЗ.
Здесь можно зафиксировать, кто является ответственным лицом за организацию обработки ПД. Обычно это сам предприниматель или руководитель компании.
В следующей статье мы закончим разбирать составление ЛА о защите персональных данных.
Добрый день! Скажите,пожалуйста, а куда я, являясь предпринимателем, должна передать документы, содержащие ПД, при прекращении деятельности. Спасибо!
Все документы, которые нужно хранить длительно (а все кадровые документы имеют срок хранения 75 лет), при ликвидации организации и при прекращении деятельности ИП сдаются в муниципальный архив на хранение.
Подробнее о том, как и где хранятся документы, читайте в новых декабрьских статьях.
Спасибо большое! За востребованную статью по составлению локальных актов о защите персональных данных.