Какие меры по защите персональных данных работников должны предприниматься при обработке этих данных

Перечень мер по защите персональных данных, которые должны предприниматься вами при обработке этих данных, законом не ограничен. Как правило, к таким мерам относятся: создание специального комплекта документов (в частности, приказа о назначении ответственного за организацию обработки персональных данных, локального нормативного акта о защите персональных данных), особый режим использования и хранения персональных данных на бумажных носителях. Также, если вы обрабатываете и храните персональные данные в электронном виде, вам нужно предпринять особенные организационные и технические меры, в частности определить тип угроз безопасности и подобрать соответствующий этому типу уровень защищенности. От этого уровня защищенности зависит, какие меры защиты персональных данных вам нужно предпринять. Для этого желательно привлечь специалиста в этой области, чтобы избежать ошибок при организации таких специальных мер. Меры по защите персональных данных вы разрабатываете сами совместно с работниками и их представителями.

  1. Какой комплект документов нужно создать для защиты персональных данных работников при обработке этих данных

Для защиты персональных данных работников создайте комплект следующих основных документов:

  • приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника вашей организации, например специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.

Например, он должен доводить до сведения работников положения законодательства о персональных данных, а также ваших локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);

  • положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
  • приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.

  1. Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся на бумажных носителях

Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе. Ключевое требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Поэтому мы рекомендуем, в частности, следующее:

  • хранить персональные данные на бумажных носителях в специальных помещениях. Учитывайте, что нужно раздельно хранить персональные данные (материальные носители), которые обрабатываются в разных целях (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации);
  • организовать особый режим доступа в эти помещения, в частности утвердить перечень лиц, имеющих доступ в данные помещения с учетом требований п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
  • организовать охрану таких помещений, например оборудовать их сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах.

Обратите внимание, что в некоторых случаях обязательно хранить персональные данные в железных шкафах. Например, в таких шкафах должны храниться документы воинского учета, содержащие персональные данные работников (п. 21 Методических рекомендаций по ведению воинского учета в организациях).

  1. Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся в электронном виде

Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Но есть множество уточнений, с которыми сложно разобраться неспециалисту. Вы можете удостовериться в этом, изучив организационные и технические меры, которые утверждены Приказом ФСТЭК России от 18.02.2013 N 21 и Приказом ФСБ России от 10.07.2014 N 378.

Поэтому, как правило, привлекают специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных).

В частности, для защиты персональных данных потребуется:

  • определить, какой у вас тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах);
  • подобрать один из четырех уровней защищенности персональных данных, исходя из вашего типа угрозы, в соответствии с п. п. 8 — 16 Требований к защите персональных данных при их обработке в информационных системах.

Именно от этого и будет зависеть комплекс мер.

Например, если по итогам определения типа угрозы специалист предложит вам обеспечить минимальный (четвертый) уровень защищенности персональных данных работников, вам потребуется (п. 13 Требований к защите персональных данных при их обработке в информационных системах):

  • обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
  • обеспечить сохранность носителей персональных данных;
  • утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).
  1. Какие риски возможны, если не будут приняты меры по защите персональных данных работников при обработке этих данных

За нарушение законодательства в области персональных данных вас могут привлечь, в частности, к административной ответственности по ст. 13.11 КоАП РФ.