Изменения в законодательстве по хранению персональных данных для отдела кадров

Как следствие этого в работе отдела кадров формируется комплекс, так называемых, персональных данных работников, который входит в круг информации, подлежащей защите от несанкционированного доступа. Об этом мы и поговорим в нашей статье. Статьей 23 Конституции Российской Федерации гарантируется личная тайна, семейная тайна, неприкосновенность частной жизни, защита чести и доброго имени гражданина. Разглашение этой тайны, то есть, несанкционированное, бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб субъекту персональных данных. В Трудовом кодексе Российской Федерации далее - ТК РФ закреплены основные требования к обработке персональных данных работника и гарантии их защиты.

Персональные данные работника: за сохранность и защиту спрашивают строже.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий. На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации.

Кроме того, в обязательном порядке к специальным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Письменное согласие субъекта персональных данных должно включать: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн Итак, оператор получил если это необходимо согласие на обработку персональных данных - персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ необходимо разработать если есть, доработать в соответствии с ФЗ положение, регламентирующее порядок хранения, обработки и защиты персональных данных.

Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных - это внутренний локальный документ организации.

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись. Список лиц, допущенных к обработке ПДн Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, то есть перечень тех по должностям , кому доступ к ПДн необходим для выполнения служебных обязанностей.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений например, начальники отделов — и это также необходимо отразить в списке.

Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев. Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

Типовые требования по организации и обеспечению функционирования шифровальных криптографических средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, - их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов. Лицензия — получать или не получать? Под технической защитой конфиденциальной информации понимается комплекс мероприятий и или услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т. Для крупных организаций таких как операторы связи, крупные банки и т. Этапы создания СЗПДн Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных СЗПДн состоит из следующих этапов: 1.

Стадия проектирования и реализации СЗПДн 2. Стадия ввода в действие СЗПДн 3. Техническое обслуживание и сопровождение системы защиты информации Организационно-распорядительная документация по защите ПДн Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн.

Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано: цель и задачи в области защиты персональных данных; понятие и состав персональных данных; в каких структурных подразделениях и на каких носителях бумажных, электронных накапливаются и хранятся эти данные; как происходит сбор и хранение персональных данных; как они обрабатываются и используются; кто по должностям в пределах фирмы имеет к ним доступ; принципы защиты ПДн, в том числе от несанкционированного доступа; права работника в целях обеспечения защиты своих персональных данных; ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, - Список лиц, допущенных к обработке ПДн перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей и Матрица доступа должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление.

Оба документа утверждаются руководителем. Частная модель угроз если ИСПДн несколько, то модель угроз разрабатывается на каждую из них — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены: угрозы утечки информации по техническим каналам; угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн.

При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн; угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и или сетей международного информационного обмена. Разработанная модель угроз утверждается руководителем. Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК. Рекомендации инструкции по использованию программных и аппаратных средств защиты информации. Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или если ИСПДн достаточно велика структурное подразделение, ответственные за обеспечение безопасности ПДн.

Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица подразделения , ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами должностными инструкциями, регламентами.

Что обязательно сертифицировать, а что нет? Часто возникает заблуждение, что все используемое программное обеспечение ПО , должно быть сертифицировано, а сертификация стоит дорого и занимает много времени. Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО.

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее: Рекомендации… В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия… Пункт 4. Пункт 4. Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно — это можно делать по желанию оператора. Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение системное, прикладное и специальное ПО и сертифицированные средства защиты информации и антивирусной защиты это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу.

Аттестация Финальным этапом создания системы защиты ИСПДн должна стать аттестация декларирование соответствия - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия Заключения подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Аттестация предусматривает комплексную проверку аттестационные испытания ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн. В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы: анализ исходных данных по аттестуемой ИСПДн; проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов; проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа; анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников. Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению прекращению обработки ПДн, привлечению компании и или ее руководителя к административной или иным видам ответственности, а при определенных условиях — к приостановлению действия или аннулированию лицензий.

И что в итоге? Многие уповают на то, что в декабре года было принято решение о продлении сроков по исполнению требований ФЗ до января г. Но независимо от этого необходимость защиты ПДн остаётся. А поэтому не стоит откладывать решение этой проблемы в долгий ящик и уже сейчас нужно принимать необходимые меры по обеспечению безопасности персональных данных.

Регламент о защите персональных данных 1.

5 шагов по организации учета и хранения персональных данных

Все работники учреждения должны быть ознакомлены с настоящим Положением под роспись. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом. Получение и хранение персональных данных Работника: Все персональные данные, необходимые работодателю в связи с трудовыми отношениями, получают непосредственно у Работника. Если персональные данные Работника возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. При этом необходимо сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение. Персональные данные Работника обрабатываются и хранятся в отделе кадров. Персональные данные Работников могут храниться в бумажном виде — личных делах, пронумерованных папках. Личные дела находятся в несгораемом сейфе, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела помещаются в сейф.

Персональные данные сотрудников: обеспечение сохранности

Положение о персональных данных пользователей обработка персональных данных С 1 июля года за неправильную работу с персональными данными работодателя будут штрафовать. У Роскомнадзора теперь есть основания для этого. Кроме того, ведомство получило право самостоятельно наказывать работодателей ст. Раньше штрафы применяла прокуратура. Версия для слабовидящих. Формы документов Обеспечение роста производительности труда Внимание! Анкетирование работодателей! Вопрос-ответ Привлечение иностранных работников.

Образец приказа о персональных данных работников

Общие положения 1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов, персональных данных учреждения здравоохранения работников и пациентов , а также ведения их личных дел, медицинских карт. Цель настоящего Положения — обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, пациентов, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

обработка персональных данных

Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то статьей 90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Положение о защите, хранении, обработке и передаче персональных данных работников и обучающихся образовательной организации [наименование образовательной организации] 1. Общие положения 1. Целью настоящего Положения является защита персональных данных, относящихся к личности и частной жизни работников и обучающихся субъектов персональных данных в [наименование образовательной организации] от несанкционированного доступа, неправомерного их использования или утраты. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу субъекту персональных данных , в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы оператором или любым другим лицом в личных целях.

Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных»

Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. И на это есть вполне понятные причины. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников. Организация защиты пакет документов Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень: политика организации в отношении персональных данных в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации ; положение об обработке и защите конфиденциальной информации приказ на утверждение положения о защите персональных данных ; перечень лиц, имеющих к ней доступ; согласие на обработку в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т.

Положение о порядке обработки персональных данных работников МБОУ СОШ пгт. Ярославский

Работник заполняет анкету: — Анкета представляет собой перечень вопросов о персональных данных работника. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника. Личное дело работника оформляется после издания приказа о приеме на работу: — Все документы, поступающие в личное дело, располагаются в хронологическом порядке.

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий. На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Письменное согласие субъекта персональных данных должно включать: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва. Положение, регламентирующее порядок обработки и защиты ПДн Итак, оператор получил если это необходимо согласие на обработку персональных данных - персональные данные можно обрабатывать.

Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты — первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций сокращенно — Роскомнадзор. Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации ч. Унифицированной формы согласия нет.

Наверх