Как разработать положение о защите персональных данных

Первостепенная роль в нынешних реалиях достается информационным потокам. А сведения о конкретных индивидуумах и вовсе «на вес золота». Поэтому недобросовестные организации (банковские структуры, компании-продавцы различных товаров и услуг, операторы мобильной связи), а также всевозможные мошенники буквально охотятся за личными данными граждан. Во избежание негативных последствий, в первую очередь, для носителей этой информации (владельцев) предусмотрено законодательное регулирование ее защиты. Нарушение закона карается несением административной и даже уголовной ответственности.

Что такое положение

Понятие персональных данных (по тексту – ПД) закрепляется в рамках ст. 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ. В соответствии с определением, данном в этой норме, ПД являют собой любые сведения, непосредственно или косвенно относящиеся к физическому лицу. В ТК РФ регулированию этого момента посвящена гл. 14. Как разработать положение о защите персональных данныхЗдесь описаны порядки хранения, применения, передачи ПД и ответственность распорядителя перед законом. Законодатель к ПД относит следующие материалы:

  • паспортные записи;
  • образование;
  • семейный статус и состав;
  • контактные данные;
  • факт судимости;
  • личное дело;
  • декларации о поступлениях.

В ст. 86 ТК РФ сказано, что проведение обработки ПД должно осуществляться по правилам:

  • цель – соблюдение прав и интересов владельцев;
  • получение происходит исключительно от субъекта, который является носителем данных;
  • финансирование защиты производится за счет средств распорядителя (например, работодателя);
  • отказ сотрудника на защиту персональных сведений недопустим;
  • принятые меры защиты – результат взаимодействия сотрудника и нанимателя.

Как разработать положение о защите персональных данныхПоложение о защите ПД сотрудника – документ локального нормативного характера, который регулирует все вопросы в данной сфере. Обязательство каждой организации относительно наличия утвержденного положения закреплено в ст. 87 ТК РФ. В соответствии с этой нормой производится разработка и утверждение Положения силами работодателя в самостоятельном порядке. При всем этом акт должен иметь 100% соответствие требованиям Трудового законодательства и прочих правовых документов в области защиты ПД. Цель – регулирование вопросов по их хранению и практическому применению.

В ч. 1 ст. 18.1 Федерального закона «О персональных данных» от 27.07.2006 сказано, что компании, которые ведут работу с личной информацией о сотрудниках, обязаны обеспечивать комплекс достаточных мер ее защиты. Здесь же присутствует примерный перечень мер, которые могут использоваться в процессе взаимодействия с информацией. Во 2-м пункте сказано, что в качестве одной из них принято рассматривать издание документов внутреннего характера, определяющих политику фирмы в плане работы с ПД.

Политика в пределах организации – декларативный тип документации, описывающий совокупные черты защитных мер. Положение – это правовая основа для обработки ПД. Его принятие не есть обязательное требование. Но в ч. 4 ст. 18.1 Федерального закона «О персональных данных» от 27.07.2006  отмечено, что в процессе проведения проверок за организацией сохраняется обязательство по предъявлении этого документа контролирующим органам. Поэтому практика показывает, что разработка документа послужит только во благо.

Для чего предназначен

Основная задача, которая стоит перед фирмой в процессе разработки данного Положения – формирование результативной системы защиты ПД. Это – локальный нормативный документ, регламентирующий задачи, связанные с обретением, хранением, применением, обработкой, передачей информации, которая собирает персональные данные всех физических лиц (в рассматриваемом случае – работников).

Как разработать положение о защите персональных данныхЦелевая задача, стоящая перед руководством организации – создание в стенах компании условий, которые стали бы исключающими для возникновения несанкционированного доступа к ПД и их нерациональному практическому использованию. В ст. 88 ТК РФ подчеркивается, что наличие коммерческого интереса не оправдывает факт неправомерного использования данных.

В целях предотвращения условий, провоцирующих утечку важной информации, в рамках Положения предусматривается установление порядка, в котором производится обработка, и предоставляется к ним доступ ответственных сторон. Особое внимание уделяется мерам защиты, ответственности за рассекречивание конфиденциальных материалов, где присутствуют персональные данные работников. Утверждение Положения – прерогатива руководителя, которые ставит свою подпись и просит об этом своих подчиненных.

Структура документа

Регламента касательно создания Положения не имеется, но ст. 18.1 ФЗ №152 подразумевает обязательное освещение отдельных моментов.

  1. Общие положения. Они включают в себя постановление конкретных целей и задач, ссылки на нормативные акты и регламенты. Здесь же описываются ситуации, в которых это Как разработать положение о защите персональных данныхположение целесообразно использовать. Содержит перечень ответственных лиц и уровень ответственности.
  2. Список технических, правовых мер и порядок их принятия. В рамках раздела происходит отображение вопросов о времени допуска к носителям ПД, нормах работы с ними, требованиях, предъявляемых к компьютерной технике, посредством которой производится хранение и обработка данных.
  3. Норма проведения инструктажа для работников, которые обретут допуск к работе с персональными материалами.
  4. Список мероприятий, которые будут проводиться в целях организации контроля соблюдения Положения изнутри и извне.
  5. Рамки и лимиты, в которых сотрудники несут ответственность за нарушение базовых требований Положения.
  6. Анализ вероятного вреда, причиненного сторонам процесса. Список мер, способствующих минимизации или исключению вероятности его нанесения.

В процессе создания во внимание следует принимать основные законодательные аспекты:

  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (это касается ситуаций, когда обработка сведений осуществляется в ручном режиме с применением бумажных или электронных средств и инструментов);
  • требования в отношении работы с инструментами автоматизации, которые были установлены в рамках правительственного Постановления РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (если в целях обработки предприятие эксплуатирует средства компьютерной техники, интернет).

Если принимать во внимание обобщенный образец Положения, можно выделить несколько ключевых пунктов.

  1. Вводная часть, в рамках которой происходит отражение оснований принятия акта. Здесь же перечисляются и нормы регламентирующих законов.
  2. Как разработать положение о защите персональных данныхСписок ПД сотрудников.
  3. Набор документов, обработкой которых занимается компания.
  4. Правила проведения мероприятий по обрабатыванию.
  5. Порядки обретения доступа теми или иными лицами.
  6. Меры защиты.
  7. Правомочия и обязательства сторон.
  8. Уровень ответственности.

Ознакомление работников с принятой бумагой осуществляется под расписку.

Разработка и утверждение проекта

Положение о защите и обработке ПД – ЛНА организации. Порядок проведения его разработки и утверждения следует общим правилам и нюансам ст. 8 Трудового кодекса РФ. Немаловажную роль играют и внутренние нормы, связанные с делопроизводством.

За принятие Положения ответственна кадровая служба или отдельный работник, занимающийся решением кадровых задач.

Утверждает бумагу приказ, изданный силами руководителя или замещающего его лица, уполномоченного на издание локальных актов. Но руководитель обязан поставить свою подпись, а также присвоить документу порядковый номер. Впоследствии проставляется точная дата и печать, если таковая присутствует.

Ответственность за отсутствие

Ответственность положена за отсутствие документа и несоблюдение его норм. В первом случае предприятию назначат штраф, а руководителю – отдельное предупреждение, вынудив составить акт. Если требования в области защиты ПД будут нарушены, ст. 90 ТК РФ подразумевает следующие меры ответственности:

  • материальная (232-233 ст ТК РФ.);
  • дисциплинарная (192 ст. ТК РФ);
  • гражданско-правовая (15, 151 ст. ГК РФ);
  • административная (11 КоАП);
  • уголовная (ст. 137 УК РФ).

Таким образом, Положение о защите персональных данных – локальный акт, который должен присутствовать на каждом предприятии. Он способствует регулированию основных вопросов безопасности информации и обеспечивает минимизацию рисков ее утечки, хищения.

Подробнее о защите персональных данных смотрите ниже на видео.

 

Поделитесь с друзьями в соц.сетях

Еще полезные публикации:

  1. Как составить уведомление об обработке персональных данных
  2. Когда работник обязан возместить работодателю причиненный ему ущерб
  3. Как подготовить и найти образец плана мероприятий
  4. Составление обязательства о неразглашении персональных данных работников
  5. Ответственность за разглашение персональных данных

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *