Как организовать работу с персональными данными в кадровых подразделениях

Опубликовано 2013-12-11 13:41 пользователем hrconsul

"Кадровая служба и управление персоналом предприятия", 2012, N 3

КАК ОРГАНИЗОВАТЬ РАБОТУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В КАДРОВЫХ ПОДРАЗДЕЛЕНИЯХ

Если в компании нет лишних средств для того, чтобы обратиться к специалистам, которые организуют работу с персональными данными, или платить штрафы за нарушения требований закона в этой сфере, то делать все придется своими силами. Из статьи вы узнаете, на что необходимо обратить внимание, какие документы следует составить и какие сведения являются объектами защиты.

Кадровая служба любой организации независимо от организационно-правовой формы, ведомственной принадлежности и количества сотрудников еще в прошлом году обязана была привести обработку персональных данных (ПДн) своих работников в соответствие с нормами Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и другими действующими нормативно-правовыми актами в области защиты ПДн. Как показывает статистика проверок, проведенных Роскомнадзором в 2010 г. и в первом квартале 2011 г., лишь немногие организации выполнили данную норму Закона.

Приведем показательный пример.

Пример 1. Управление Роскомнадзора <1> по Саратовской области летом 2011 г. во время плановой выездной проверки ООО "Центр здоровья "Европласт" на предмет соблюдения требований действующего законодательства в сфере персональных данных выявило следующие нарушения:

- отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 18.1 Закона о ПДн);

- отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 18.1 Закона о ПДн);

- отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 18.1 Закона о ПДн);

- не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. 18.1 Закона о ПДн);

- нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687, далее - Положение);

- не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).

--------------------------------

<1> http://64.rsoc. ru/news/news27226.htm и http://64.rsoc. ru/news/news28181.htm? print=1.

По результатам проверки компания была оштрафована на 5000 руб.

Нормативная база

Оговоримся сразу: статья посвящена исключительно организации работы с ПДн в кадровой службе компании. Обработка персональных данных с иной целью (исполнение обязательств по хозяйственным договорам с физическими лицами, создание клиентских баз, предоставление туристических, образовательных, страховых, медицинских и иных подобных услуг и т. п.) производится по несколько иным правилам и подразумевает другой алгоритм обработки и пакет документов, дополнительные меры защиты.

Для компаний, в которых ПДн обрабатываются с указанными целями, настоятельно рекомендуем не поддаваться соблазну сделать универсальную систему работы с ПДн "для всего" - ввиду различия алгоритмов работы с кадровой документацией и ПДн третьих лиц это неизбежно приведет к путанице и ступору. На наш взгляд, лучше сразу разделить эти алгоритмы и ввести отдельно систему работы с ПДн сотрудников и (в случае необходимости) - с ПДн клиентов и иных сторонних заинтересованных лиц.

Для перфекционистов, сильно продвинутых пользователей и тех, кто хочет максимально приблизиться к идеалу, рекомендуем найти и ознакомиться со следующими весьма любопытными документами:

1) Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15.02.2008;

2) Методикой определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008;

3) Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 N 781;

4) Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным Приказом ФСТЭК России от 05.02.2010 N 58.

Там достаточно подробно, в том числе в схемах, даны ответы на все вопросы. Беда в том, что эти документы крайне тяжелы для чтения и понимания непрофессионалами (видимо, все же не следовало полностью доверять их разработку специалистам-криптографам из ФСБ).

Тем, у кого в штате найдется ветеран соответствующего подразделения ФСБ, ГРУ или СВР, вполне по силам разобраться в этом вопросе самостоятельно. Возможно, придется смириться с небольшими неудобствами в виде обыска при выходе с территории предприятия. А что делать всем остальным? Не волнуйтесь, большинству операторов не нужно ставить на окна специальные жалюзи с отражающим покрытием, защищающим мониторы от съема информации путем улавливания электромагнитных колебаний, или обеспечивать развязку цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал.

Предлагаем программу-минимум, которая, с одной стороны, не займет много времени и не потребует титанических усилий и огромных вложений, а с другой - надежно защитит вас от претензий Роскомнадзора и "обиженных" субъектов ПДн.

Общий план мероприятий по созданию системы защиты

Прежде чем приступить к созданию системы защиты ПДн, необходимо определиться с несколькими ключевыми моментами. Во-первых, что, кто, где, как и от кого будет защищать оператор данных (организация-работодатель). Во-вторых, с целью обработки персональных данных. В нашем случае - "исполнение трудовых договоров и соблюдение прав и интересов работодателя, работника и третьих лиц". В-третьих, изучить правовое основание обработки ПДн. Для кадровой документации это Закон о ПДн, ТК РФ, Конституция РФ, устав организации и локальные нормативные акты.

Необходимо составить исчерпывающий перечень сведений, относящихся к охраняемым ПДн именно на вашем предприятии. Этот перечень может существенно отличаться от типового, например, в связи с особыми условиями труда, наличием специальных требований к персоналу и т. п. В список нужно включить сведения, необходимые по закону, и те, без которых ваше предприятие не сможет обойтись.

Кроме того, следует четко определить список действий с персональными данными. Он, как правило, стандартный для всех организаций:

- сбор;

- запись;

- систематизация;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передача (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

К каждому из данных действий необходимо указать способ, которым это действие производится именно в вашей организации, какие средства при этом используются и какие меры защиты необходимы. Если говорить о способах, то ничего сложного в выборе нет. Это может быть обработка ПДн на бумажных носителях или с использованием ПЭВМ, дискет, флэш-накопителей, карт памяти и пр. Возможна и смешанная обработка (частично на бумаге, частично на компьютере), а также с передачей либо без передачи по внутренней сети организации и по сети Интернет.

При этом необходимо провести тщательную диагностику вашего предприятия, чтобы выявить подразделения и сотрудников, работающих с ПДн, схемы и каналы их взаимодействия, условия работы. Здесь, например, выявляются и оцениваются следующие действия, условия и процессы (наличие, отсутствие, состояние):

1) отдельное помещение для хранения и работы с ПДн;

2) условия хранения ПДн;

3) как организованы рабочие места сотрудников, работающих с ПДн;

4) общие базы данных, содержащих ПДн;

5) передача сведений по локальным сетям и Интернету (в случае наличия филиалов или удаленных работников);

6) количество ПЭВМ, в которых хранятся и обрабатываются ПДн;

7) техдокументация на ПЭВМ;

8) документация и лицензии на ПО;

9) антивирусная защита;

10) ключи доступа к ПЭВМ;

11) возможность доступа посторонних лиц в помещение, где находятся документы ПЭВМ и иные носители, содержащие ПДн;

12) возможность несанкционированого копирования БД и документов;

13) перечень лиц, имеющих по роду деятельности доступ к ПЭВМ и документам, содержащим ПДн, перечень этих документов;

14) наличие средств утилизации документов на бумажных носителях или договоров с соответствующими организациями.

Исходя из специфики работы каждой отдельной организации эти пункты могут быть другими. Главное - определить, какой путь проходят ПДн сотрудников именно по вашей организации, кто к этому имеет отношение, каким образом и для чего. И всеми возможными способами (не в ущерб работе организации, разумеется) попытаться минимизировать как перечень операций с ПДн, так и список сотрудников, имеющих к ним доступ.

Меры по обеспечению безопасности ПДн при их обработке и хранении могут быть различными. Закон о ПДн содержит примерный ориентировочный их перечень (ст. ст. 18.1 и 19). Например, работодателю следует вести учет машинных носителей ПДн; установить правила доступа к ПДн, обрабатываемым в информационной системе; определить исчерпывающий перечень лиц, имеющих доступ к ПДн на каждом этапе их обработки; ознакомить лиц, допущенных к ПДн, с нормативно-правовой базой и локальными актами в области защиты ПДн; все изменения доводить до их сведения своевременно в соответствии с журналом ознакомления; постоянно контролировать уровень защищенности информационных систем и пр.

Средства обеспечения безопасности зависят от того, на каком носителе хранятся ПДн. Если на ПЭВМ, то нужно разработать систему логинов и паролей, закупить специальные программные средства. В помещении, где хранятся ПДн, надо установить сигнализацию и сейфы, создать ключи доступа и т. д.

Для наглядности результаты проведенного анализа можно оформить в таблицу.

Действие

(процесс)

<2>

Лица,

имеющие

доступ на

данном этапе

Способ и

средства

обработки

Перечень

угроз и

оценка

вреда

Предпринятые меры

защиты и те, которые

необходимо

предпринять

Примечание

--------------------------------

<2> Образец перечня возможных действий (процессов) приведен в п. п. 1 - 14.

После ее составления станет понятно, какие меры для защиты ПДн уже приняты, а какие только необходимо принять. Исключительно важно "пройтись" по всем пунктам составленной таблицы, т. к. проверяющие обратят внимание на то, как в компании организована защита ПДн и приняты ли меры по исключению несанкционированного доступа к ним.

Кстати, Роскомнадзор в отчете по итогам 2010 г. отметил <3>, что компании нередко вообще не принимают никаких мер для предотвращения несанкционированного доступа к обрабатываемым ПДн, тем самым нарушая п. 13 Положения.

--------------------------------

<3> http://www. rsoc. ru/docs/Otchet_2010.pdf.

Спрашивайте осторожно

Итак, на начальном этапе надо определиться, что именно мы будем охранять. Для этого необходимо составить исчерпывающий перечень сведений, которые запрашиваются у соискателя и работника.

Почему это важно? Дело в том, что именно данный перечень ляжет в основу всех локальных нормативных актов и прочей кадровой документации (памяток, договоров, расписок и т. п.). Утвержденный перечень необходимо довести до сведения всех заинтересованных лиц под личную подпись и строго следить за тем, чтобы никакая информация сверх этого перечня затребована не была.

Это правило очевидно лишь на первый взгляд. По словам сотрудников Роскомнадзора, наибольшее количество претензий связано именно с затребованием и обработкой ПДн, необходимость в которых ничем не подтверждена.

Достаточно часто соискателю в анкете предлагают предоставить сведения о ближайших родственниках, о наличии рекомендаций с предыдущего места работы либо учебы; оценить свое состояние здоровья; назвать свои сильные и слабые стороны; рассказать о своем хобби; расставить приоритеты, например, проранжировав (от 1 до 10) определенные факторы в порядке значимости; указать ожидания и пожелания к новому месту работы; сообщить некоторые дополнительные важные сведения о себе, которые были упущены в ходе заполнения других документов. Однако надо понимать, что просьба заполнить такую анкету и затем хранение ее в личном деле работника гарантированно навлекут на голову работодателя кучу проблем.

Обратите внимание: законодательством установлен минимальный стандартный перечень документов, которые необходимо требовать у соискателя при приеме на работу (ст. 65 ТК РФ):

- паспорт или (при его отсутствии) иной документ, удостоверяющий личность (например, для иностранных граждан это будет документ, удостоверяющий их право на постоянное проживание в РФ);

- трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

- документ об образовании, квалификации, наличии специальных знаний, стаже работы (при поступлении на работу, требующую специальных знаний или специальной подготовки);

- справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, но только при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, а также подвергающиеся или подвергавшиеся уголовному преследованию.

Остальные документы можно требовать только для соискателей некоторых должностей, для которых это необходимо по закону. Например, при приеме на работу с вредными или опасными условиями труда, а также на работу, связанную с управлением транспортом, кандидат должен пройти медосмотр и предъявить заключение о допуске к работе, подписанное врачом и заверенное печатью лечебно-профилактического учреждения (ст. 213 ТК РФ). Правда, здесь следует предупредить кадровых сотрудников - любителей работать, руководствуясь лишь перечнями, утвержденными Минздравсоцразвития России. Этих перечней недостаточно! Для установления каких-либо дополнительных требований к соискателю или работнику необходима аттестация соответствующего рабочего места (ст. 212 ТК РФ). Без нее (причем проведенной в установленном законом порядке) требование о предоставлении медицинской справки и проведении медосмотра незаконно.

Также обращаем внимание, что при составлении перечня требуемых ПДн надо ограничиться действительно необходимыми сведениями, а условия их запрашивания следует установить в локальных нормативных актах.

Некоторые организации пытаются обойти Закон о ПДн следующим образом. Соискатель (работник) собственноручно заполняет анкету в двух видах: краткую (с минимумом сведений, установленных в законодательстве) - для официального личного дела и полную (по форме, как в приведенном выше примере, или подробнее) - для личного дела, которое хранится в недоступном для проверяющих месте. В этом случае не стоит забывать, что о месте хранения подобного "компромата" может стать известно какому-нибудь недоброжелателю, например бывшему сотруднику, уволенному со скандалом.

Другие идут дальше и хранят все дома у генерального директора (куда, как известно, без санкции прокурора не проникнуть). Но только представьте, сколько макулатуры может скопиться в жилище руководителя лет через пять! Можно оставлять только "черную" программу с вбитыми сведениями, а бумажные носители с подписью уничтожить, но что проку в сведениях, не подтвержденных личной подписью? Так что надо все же подумать, стоит ли овчинка выделки и насколько необходимы "дополнительные сведения", чтобы терпеть из-за них такие неудобства.

При определении степени необходимости сведений помните, что каждое дополнительное сведение повысит класс защиты ПДн и, соответственно, требования к оборудованию, средствам, работам, документации. Если в вашем случае законом не установлено, но вам в силу каких-то причин желательно знать, скажем, национальность или наличие судимости потенциального работника, то лучше эти вопросы выяснить устно на собеседовании. Причем только в форме вопроса, а не требования. И если соискатель откажется отвечать на какие-либо вопросы, то остается лишь смириться с этим. Теперь сведения о его работе, личной жизни, чертах характера, пребывании за границей и т. п. надежно защищены законом. А сведения о родственниках вообще можно узнавать только с письменного разрешения этих самых родственников.

К сведению. На получение и обработку в рамках трудового законодательства персональных данных любого лица, не состоящего с организацией в трудовых отношениях, требуется его письменное согласие, оформленное в установленной форме, или доверенность, заверенная нотариально.

Ниже приведены категории субъектов и минимальный набор ПДн, обрабатываемых в кадровом подразделении организации, рекомендованный Роскомнадзором.

Пример 2. К категориям субъектов, ПДн которых обрабатываются, относятся соискатели; сотрудники; граждане, с которыми организация-работодатель прекратила трудовые отношения, а в отдельных случаях - родственники перечисленных категорий.

Категории персональных данных:

1) общие персональные данные (Ф. И. О., дата и место рождения; гражданство; адрес; семейное положение; образование; место работы; должность; профессия; паспортные данные; страховое свидетельство и др.);

2) специальные категории персональных данных (состояние здоровья; наличие судимости или обязательств по исполнительным листам; автобиографические данные; имущественное положение; данные на родственников; убеждения, взгляды (в т. ч. политические); черты характера);

3) биометрические персональные данные (фотография).

Из списка категорий субъектов и ПДн необходимо удалить те, которые вами не обрабатываются, или добавить необходимые.

Документы для защиты ПДн

Как мы отмечали, в любой компании, где есть сотрудники, для защиты ПДн кадровая служба должна подготовить целый пакет различных документов. Если у вас есть таблица, о которой упоминалось ранее, составить указанные документы будет несложно.

Пример 3.

1. Перечень персональных данных, необходимых для данной организации.

2. Список лиц, допущенных к работе с ПДн (должность, Ф. И. О., основания для доступа, пределы доступа).

3. Положение о работе с ПДн.

4. Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных.

5. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями.

6. Должностные инструкции лиц, ответственных за защиту информации.

7. План мероприятий по защите информации.

8. Перечень защищаемых объектов информатизации.

9. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа.

10. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.

11. Технические паспорта на защищаемые объекты информатизации.

12. Документация и лицензии на ПО, не только непосредственно используемое для обработки ПДн, но и все остальное, установленное (используемое) на данной ПЭВМ.

13. Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица (если при обработке ПДн используется отдельное помещение).

14. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации.

15. Инструкция по защите речевой информации при проведении конфиденциальных совещаний.

16. Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.

17. Инструкция по обеспечению информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т. п.).

18. Инструкция по антивирусной защите.

19. Перечень защищаемых ресурсов в локально-вычислительной сети, таблицы разграничения доступа.

20. Приказ о назначении ответственного за эксплуатацию средств защиты информации.

21. Журнал (карточки) учета средств защиты информации.

22. План мероприятий по защите ПДн.

23. План внутренних проверок состояния защиты ПДн.

24. Журнал учета мероприятий по контролю.

25. Журнал учета обращений субъектов ПДн о выполнении их законных прав.

26. Письменные согласия работников на обработку ПДн.

27. Электронный журнал обращений пользователей информационной системы к ПДн.

28. Журналы (книги) учета движения документов (иных носителей), содержащих ПДн.

Обратите внимание: перечень примерный и с учетом специфики организации он может быть меньше.

Многие эксперты, ссылаясь на п. 5 ч. 1 ст. 6 Закона о ПДн, высказывают мнение, что работнику, который выступает стороной трудового договора, не нужно писать заявление о согласии на обработку ПДн. На наш взгляд, его все же стоит получить, поскольку в спорной ситуации у вас будет документ, подтверждающий согласие работника.

В текст заявления следует включить:

- согласие на использование сведений, полученных от субъекта ПДн (перечень указан выше);

- наименование и адрес организации, получающей согласие субъекта ПДн;

- цель обработки ПДн;

- перечень действий с ПДн, на обработку которых дается согласие;

- срок, в течение которого действует согласие (обычно - до ликвидации организации);

- порядок отзыва согласия;

- согласие на обработку ПДн для формирования общедоступных источников ПДн (справочников, адресных книг, информации в СМИ, на сайте организации и т. д.);

- согласие на получение и передачу ПДн органам местного самоуправления, государственным органам и организациям для целей обеспечения соблюдения законов и иных нормативных правовых актов, в том числе требований налоговых органов, фондов медицинского и социального страхования и т. п., проверяющим органам и организациям;

- использование ПДн в целях содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оформления доверенностей, прохождения конкурсного отбора, прохождения безналичных платежей на банковский счет работника.

Правильно составить такую форму заявления исключительно важно. Роскомнадзор в отчете о проведенных в 2010 г. проверках отметил, что одним из наиболее часто допускаемых нарушений является как раз несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям закона.

Причем рекомендуем оформить такое заявление не только с соискателями перед началом заполнения всех остальных необходимых документов (анкеты, личные дела и т. д.), работниками при поступлении на работу, но и с уже работающими в организации сотрудниками. Если работник отказывается от его заполнения, то необходимо составить соответствующий акт и взять с него письменное объяснение по данному вопросу с указанием причин. Если у него есть уважительная причина на отказ от какого-либо из пунктов (например, от публичного распространения сведений), то необходимо подписать заявление, исключив данный пункт (это касается необязательных сведений и действий).

Если же работник отказывается писать заявление и вообще что бы то ни было (такое, к сожалению, встречается часто), необходимо также составить акт. Уволить за такой отказ работодатель не имеет права. Но можно воздействовать на работников другим методом, например ознакомить под личную подпись с последствиями такого отказа (например, отсутствие электронного пропуска приведет к оформлению разового, и делать это придется каждый раз, выходя из здания офиса в течение дня, в том числе на обед и "перекуры"). Как показывает практика, количество "отказников" резко уменьшается.

Пример 4. В крупной организации ввели систему защиты ПДн. В связи с этим работников попросили подписать заявления о согласии с обработкой их ПДн. 43 человека наотрез отказались это делать. Была создана комиссия, отказ был зафиксирован актами. Работникам под личную подпись письменно разъяснили, каковы будут последствия отказа. В частности, электронный пропуск заменяется бумажным с указанием фамилии, имени и отчества, который они вместе с паспортом должны будут каждый раз показывать охранникам на входе и выходе (при этом "забытый" паспорт или пропуск не является уважительным оправданием для опоздания на работу), за зарплатой они будут стоять в кассу, "льготных" путевок и новогодних подарков детям давать больше не смогут, для выдачи любых справок, выписок и заверенных копий (например, для выдачи кредита) надо будет каждый раз проходить сложную процедуру многочисленных согласований через разные отделы.

После этого 39 человек передумали и подписали все добровольно. У оставшихся работников был взят письменный отказ и подпись в ознакомлении с новыми правилами, по которым они будут осуществлять трудовую деятельность. Через некоторое время они также подписали заявление в компромиссном варианте, и лишь один сотрудник уволился по собственному желанию.

Как видите, любые проблемы можно решить, если подойти с позиций действующего законодательства, применив при этом творческий подход.

Мнение. Алевтина Калитовская, юрист ООО "Профиль"

Алгоритм действий работодателя по организации работы с персональными данными можно представить в виде следующей пошаговой схемы:

┌─────────────────────────────────────────────────────────────────────────┐

│ 1. Назначьте ответственного сотрудника (или отдел) для организации и │

│ начала работы, связанной с персональными данными │

└────────────────────────────────────┬────────────────────────────────────┘

\│/

│ 2. Составьте список всех информационных ресурсов и баз данных на вашем │

│ предприятии, которые содержат персональные данные (личные дела │

│работников, справочная база данных по сотрудникам с телефонами и адресами│

│ и т. д.) │

\│/

│ 3. Установите, на основании чего были созданы ресурсы и информационные │

│базы, содержащие персональные данные (требования закона, производственная│

│ необходимость, пр.) │

\│/

│ 4. Составьте перечень персональных данных (общие - Ф. И. О., дата и место │

│ рождения, адрес, гражданство, паспортные данные, образование, ИНН; │

│ специальные - состояние здоровья, наличие судимости, имущественное │

│ положение и т. д.) │

\│/

│ 5. Зафиксируйте источники получения персональных данных (работники, │

│ третьи лица, публичные источники) │

\│/

│ 6. Установите способы обработки персональных данных (на бумажном или │

│ электронном носителях), а также возможность (или невозможность) их │

│ передачи по внутренней сети организации и по сети Интернет │

\│/

│ 7. Определите сроки хранения и сроки обработки данных (по каждому │

│ информационному ресурсу) │

\│/

│ 8. Составьте список лиц, имеющих доступ к персональным данным (как │

│ сотрудников своей компании, так и сторонних, например, в случае передачи│

│ персональных данных для их обработки третьим лицам по договору, согласно│

│ которому расчетом заработной платы занимается аутсорсинговая компания) │

\│/

│ 9. Пропишите порядок движения персональных данных в организации - между │

│ отделами и сотрудниками (в каких случаях осуществляется, каким образом и│

│ пр.) │

\│/

│ 10. Зафиксируйте условия хранения персональных данных (отдельное │

│ помещение, доступ по электронным картам, сигнализация, сейф и пр.) │

\│/

│ 11. Продумайте меры по обеспечению безопасности персональных данных │

│ (особый режим, "тонкие" места, где возможна утечка или кража данных, как│

│ они могут быть обнаружены, меры ответственности за нарушения, │

│ взаимодействие с проверяющими и другими госорганами по передаче │

│ персональных данных и т. д.) │

\│/

│ 12. Установите ответственных сотрудников (это может быть и одно лицо), │

│ которые отвечают за сохранность персональных данных по каждому │

│ информационному ресурсу, существующему в организации │

\│/

│ 13. Составьте перечень необходимых документов для обеспечения │

│ безопасности персональных данных (положение о персональных данных, │

│ согласие работника на их обработку, приказы, документы по обеспечению │

│ доступа и т. д.) │

└─────────────────────────────────────────────────────────────────────────┘

С. Семеновская

Юрист,

налоговый консультант,

руководитель

проекта Инепроблема. ру

Подписано в печать 15.02.2012

Рубрика:

Кадровое делопроизводство

Ключевые слова:

персональные данные

Поделиться