Важное

Аудит существующей системы защиты персональных данных БЕСПЛАТНО

Аудит существующей системы защиты персональных данных БЕСПЛАТНО

Мы БЕСПЛАТНО проведем  аудит состояния системы защиты информационных систем п...

 

Все компании являются операторами персональных данных, а значит обязана обеспечить надежную защиту персональных данных

Что такое защита персональных данных сотрудника

Персональные данные, защита персональных данных — полное определение этого понятия дано в законе №152-ФЗ от 27.07.2006, который является регулирующим нормативным документом, закрепляющим на федеральном уровне основные нормативы и принципы обращения с персональной (конфиденциальной) информацией сотрудников. В соответствии со статьей 3 указанного закона к персональным относятся данные, которые прямо или косвенно касаются конкретного субъекта или физического лица.

Оператору (государственному органу, работодателю, являющемуся юридическим или физическим лицом), субъект предоставляет о себе определенные сведения. При этом оператор вправе обрабатывать полученную информацию, передавать ее третьим лицам с согласия самого субъекта. Средства обеспечения безопасности персональных данных поручены стороне, которая их получает.

Категории персональных данных 

Требования к защите персональных данных установлены действующим законодательством, персональные данные подразделяют на 5 видов:

  • Общие;
  • Общедоступные;
  • Обезличенные;
  • Специальные;
  • Биометрические.

К общей информации относят паспортные данные человека (ФИО, дата рождения, семейное положение), домашний адрес, номер телефона, сведения о полученном образовании и так далее. Действующее законодательство не ограничивает перечень общих данных, но подробно описывает типы специальных данных, для которых устанавливаются особые правила по сбору, обработке и хранению.

К специальным данным относят:

  • данные расовой, национальной принадлежности;
  • политических взглядов;
  • религиозных или философских убеждений;
  • состояния здоровья;
  • интимной жизни.

Запрашивать специальные данные можно только в случаях медицинского обслуживания с соблюдением врачебной тайны, страхового обслуживания, осуществления правосудия, защиты жизни и здоровья субъекта, противодействия терроризму. Специальные сведения не возбраняется обрабатывать, если субъект дал письменное согласие на это или сделал такие сведения общедоступными.

К биометрическим сведениям относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных. Обработка и хранение проводится в соответствии с постановлением Правительства РФ под №512 от 6 июля 2008 года. Как только цель обработки данных будет достигнута, специальные и общие сведения должны быть обезличены и уничтожены. 

Как защитить персональные данные в компании? 

Защиту персональных данных проводят с учетом требований Трудового кодекса РФ (на основании ст. 87 ТК РФ) и ФЗ №152-ФЗ. Это означает, что оператор вправе самостоятельно определить общий порядок такой обработки, закрепить его в локальном нормативном акте, в частности, в Положении о работе с персональными данными. При приеме на работу сотрудников знакомят с указанным локальным нормативным актом под подпись.

Руководитель назначает приказом ответственных должностных  лиц по работе с персональными данными.  Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке и хранении определены ст.19 Закона от 27.07.2006 года № 152-ФЗ и Требованиями, постановления Правительства РФ от 1.11.2012 года № 1119. С учетом требований каждая организация разрабатывает систему защиту персональных данных, обеспечивающую конфиденциальность обрабатываемой информации.

Конкретные средства защиты конфиденциальной информации для информационной системы обработки персональными данных выбирает оператор с учетом нормативно-правовых актов ФСБ России и ФСТЭК России. При обработке в системах устанавливается  до 4-х  уровней защищенности в зависимости от соответствующей категории персональных  данных и от количества субъектов (сотрудников), сведения о которых обрабатываются в информационной  системе.

Определение уровня защищенности персональных данных предусмотрены п. 13-16 Требований, утвержденных постановлением Правительства РФ от 1.11.2012 года под № 1119. Устанавливают режим безопасности помещений, назначают лиц, ответственных за такую безопасность и так далее. Конкретные требования установлены составом и содержанием как организационных, так и технических мер, утвержденными приказом ФСТЭК России от 18.02.2013 года под № 21.

Чтобы обеспечить контроль защищенности, оператор (директор)  или уполномоченное им лицо  осуществляют внутренние  контрольные проверки. На договорной основе к таким проверкам могут привлекаться организации, имеющие квалифицированных специалистов и специализирующиеся на  проведение таких видов работ.

 Protection Group оказывает комплекс услуг по защите персональных данных предприятия

 

Подведем итог: 

Сотрудник предоставляет работодателю сведения, которые носят личный характер, еще на этапе анкетирования и в процессе трудоустройства. Такой вид информации носит конфиденциальный характер и не подлежит разглашению.

Положение о защите персональных данных сотрудников  относится к документу, в котором прописаны правила обработки и хранения персональной  информации, полученной от сотрудника.

Выбор средств защиты конфиденциальной информации для информационной системы, в которой обрабатываются персональные данные осуществляется оператором с учетом нормативно-правовых актов  ФСТЭК и ФСБ России.

При обработке персональных данных в информационных системах устанавливаются до 4-х уровней защищенности в зависимости от категории персональных данных и от количества субъектов (сотрудников), персональные данные которых содержатся в информационной системе.

 

Protection Group: Разработка, внедрение и сопровождение систем защиты информации.