Разработка положения о защите персональных данных

Обеспечение безопасности персональных данных является на сегодняшний день объективной реальностью. Информация о человеке всегда имела большую ценность, но сегодня она является очень дорогим товаром.

Сегодня сложно представить организацию, которая бы не занималась обработкой информации о человеке. В любом случае организация хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к ущербу, остановке деятельности организации, уголовному наказанию[1].

Положение о защите персональных данных разрабатывается в целях определения порядка обработки персональных данных работников, обеспечения защиты прав и свобод работников при обработке их персональных данных, а также для установления ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Для создания такой защиты и необходимо создание Положения, которое разрабатывается на основе следующих нормативно-правовых актов:

· Конституция РФ[2];

· Трудовой кодекс РФ[3];

· Федеральный закон «О персональных данных»[4];

· Федеральный закон от «Об информации, информационных технологиях и о защите информации»[5];

· Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»[6];

· Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»[7];

· Приказ ФСТЭК РФ «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»[8].

В соответствии с Федеральным законом «О персональных данных» персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

К персональным данным работника относятся:

· паспортные данные;

· трудовая книжка;

· трудовой договор;

· документы воинского учета;

· документы об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащие сведения об образовании, профессии;

· унифицированные формы первичной учетной документации по учету труда и его оплаты;

· личное дело работника;

· приказы по личному составу;

· сведения о состоянии здоровья;

· сведения о социальном и имущественном положении;

· сведения о заработной плате, медицинском и социальном страховании работника, о страховом трудовом стаже;

· другая информация (ИНН, семейное положение и т.д.).

Положение о защите персональных данных имеет следующие реквизиты:

· Наименование организации;

· Наименование вида документа;

· Дата и регистрационный номер документа;

· Заголовок к тексту;

· Гриф утверждения;

· Текст;

· Подпись;

· Визы ознакомления.

Положение о защите персональных данных может иметь следующую структуру:

1. Общие положения;

2. Основные понятия;

3. Перечень документов и сведений, содержащих персональные данные работника и изменение персональных данных;

4. Принципы и условия обработки персональных данных;

5. Требования по обработке персональных данных работников;

6. Хранение, использование и получение персональных данных работников;

7. Передача персональных данных работников;

8. Права и обязанности работодателя;

9. Права и обязанности работников в области защиты персональных данных;

10. Ответственность сторон за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Раздел «Общие положения» должен содержать информацию о назначении Положения, перечень нормативно-правовых актов, в соответствии с которыми создано Положение, должны быть прописаны необходимость ознакомления с Положением под роспись, а также необходимость соблюдения режима конфиденциальности.

Раздел «Основные понятия» содержит основные термины и понятия, связанные с защитой персональных данных.

В раздел «Перечень документов и сведений, содержащих персональные данные работника и изменение персональных данных» необходимо включить перечень документов, содержащих персональные данные работника (паспорт, документ об образовании, документы воинского учета, личное дело работника и т.д.), а также информацию о необходимости предоставления работником достоверных сведений о себе, в том числе при изменении своих персональных данных (замена паспорта, смена фамилии и.т.д.).

Раздел «Принципы и условия обработки персональных данных» может содержать основные принципы, на основе которых осуществляется обработка персональных данных (законность целей и способов обработки персональных данных, добросовестность, достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных и т.д.).Также в разделе могут приводиться некоторые условия обработки персональных данных (работник может не давать согласия на обработку его персональных данных, если она осуществляется в целях исполнения условий трудового договора и трудового законодательства РФ, если обработка персональных данных осуществляется для статистических или иных целей при условии обезличивания данных, если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов и т.д.).

Раздел «Требования по обработке персональных данных работников» может содержать требования, необходимые в целях обеспечения прав и свобод работника при обработке персональных данных (обеспечение законности, конфиденциальности, защита от неправомерного использования персональных данных и т.д.).

В разделе «Хранение, использование и получение персональных данных работников» должны быть прописаны перечень лиц, имеющих доступ к персональным данным работников, их обязанности, правила работы с документами, содержащими персональные данные (пресекать действия других лиц, которые могут привести к разглашению персональных данных работников; не использовать сведения о персональных данных работников в свою личную пользу; не оставлять документы, содержащие персональные данные работников без присмотра и. т.д.).

Раздел «Передача персональных данных работников» может содержать требования, которые должен соблюдать работодатель при передаче персональных данных работника (не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением некоторых случаев, не сообщать персональные данные работника в коммерческих целях без его письменного согласия, разрешать доступ к персональным данным работников только специально уполномоченным лицам и т.д.).

В разделе «Права и обязанности работодателя» должны быть прописаны основные права и обязанности работодателя (определять круг должностных лиц, допущенных к сведениям, содержащим персональные данные работников, разграничивать допуск должностных лиц к сведениям, содержащим персональные данные работников, проверять подлинность документов, представленных работником, требовать от работника предоставление сведений об изменении персональных данных и т.д.).

Раздел «Права и обязанности работников в области защиты персональных данных» включает основные права и обязанности работников по обеспечению защиты своих персональных данных (получение полной информации об его персональных данных,свободный и бесплатный доступ к своим персональным данным, требование об исключении или исправлении неверных или неполных персональных данных, предоставление достоверных данных и т.д.).

В разделе «Ответственность сторон за нарушение норм, регулирующих обработку и защиту персональных данных работника» необходимо отразить информацию о последствиях нарушения работы с персональными данными работника (лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут различные типы ответственности в соответствии с федеральным законодательством).

Положение подписывается начальником отдела кадров. Работники должны ознакомиться с положением под роспись. Положение согласовывается с юрисконсультом. Утверждается приказом по основной деятельности.

В качестве приложений к Положению можно подготовить согласие на обработку персональных данных и обязательство о неразглашении сведений, составляющих персональные данные работников.