Порядок обработки персональных данных работников: требования и документы

Порядок обработки персональных данных работников: какие документы нужны для обеспечения защиты

Обеспечение защиты персональных данных сотрудников осуществляется на основании следующего пакета документов:

1. Приказ о назначении сотрудника, ответственного за работу с персональными данными компании (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 ФЗ-152). Это может быть любой сотрудник, например кадровик.

ВАЖНО! Ответственный специалист должен исполнять функции, указанные в ч. 4 ст. 22.1 ФЗ-152: информировать сотрудников о нормах закона и внутренних документах работодателя, связанных с персональными данными.

2. Регламент или внутренний нормативный документ, устанавливающий порядок обработки персональных данных работников (образец здесь).
3. Политика обработки персональных данных сотрудников. Она должна точно отражать принципы работы компании с такими данными и соблюдать законодательные нормы (п. 2 ч. 1 ст. 18.1 ФЗ-152).

Образец политики оператора в отношении обработки персональных данных приведен в «КонсультантПлюс». Оформите пробный доступ – это бесплатно. Если вы хотите пользоваться системой на постоянной основе, уточните ее стоимость.

4. Приказ об утверждении списка сотрудников, уполномоченных обрабатывать персональные данные (ст. 88 ТК). Рекомендуется оформить для каждого ответственного сотрудника письменное обязательство о соблюдении конфиденциальности личных сведений.

Дополнительно можно составить и другие документы, такие как журнал учета персональных данных, согласие работника на обработку данных.

Если компания обрабатывает конфиденциальную информацию (не гостайна), необходима аттестация соответствия правилам защиты такой информации (Приказ ФСТЭК № 77 от 29.04.2021).

Обработка персональных данных работников при хранении на бумаге

Законодательством детально не регламентированы правила защиты личных сведений на бумажных документах. Однако закон обязывает работодателя принять необходимые юридические, организационные и технологические меры, обеспечивающие безопасность хранения персональных данных работников от несанкционированного доступа или потери, либо поручить выполнение этих мероприятий другим лицам (п. 7 ст. 86 ТК и ч. 1 ст. 19 ФЗ-152).

Исходя из указанных норм, целесообразно принять следующие меры:

1. Хранить личные сведения сотрудников отдельно друг от друга в специально отведенных помещениях, учитывая необходимость разделения документов по различным целям обработки (п. 14 Положения о порядке обработки персональных данных без автоматизированных средств).
2. Ограничить доступ посторонних лиц в указанные помещения путем утверждения списка сотрудников, допущенных туда, согласно требованиям пункта 13 указанного положения.
3. Обеспечить дополнительную физическую защиту таких помещений посредством установки охранной сигнализации, металлических дверей с автоматическим запирающим механизмом и защитных оконных решеток.

ВАЖНО! В отдельных ситуациях хранение документов должно осуществляться исключительно в сейфах или металлических шкафах (документы воинского учета, включающие персональные данные работников на основании п. 21 Методических рекомендаций по ведению воинского учета в организациях).

Какие сроки хранения документов по номенклатуре дел, рассказывается в материале.

Обработка персональных данных сотрудников в электронной форме

Защита персональных данных, хранящихся в электронных базах, представляет собой сложную задачу. Согласно закону, работодатели обязаны применять надлежащие юридические, организационные и технологические средства обеспечения безопасности такой информации либо поручать выполнение соответствующих мероприятий другим организациям (п. 7 ст. 86 ТК, ч. 1 ст. 19 ФЗ-152).

Однако существует ряд конкретных требований, изложенных в специальных нормативных актах — приказах ФСТЭК № 21 от 18.02.2013 и ФСБ № 378 от 10.07.2014.

Для выполнения всех необходимых условий допустимо привлечение специализированных компаний или ИП с лицензией на работу с защитой конфиденциальной информации (п. 2 Состава и содержания организационных и техмер по обеспечению безопасности персональных данных).

Основные этапы по защите персональных данных сотрудников в электронной форме

Шаги по организации защиты определены Требованиями к защите персональных данных при их обработке в информационных системах (далее – Требования) и включают:

1. Определение уровня потенциальной опасности, угрожающей сохранности персональных данных ваших сотрудников (п. 7 Требований).
2. Выбор одного из четырех возможных уровней защиты персональных данных согласно установленному уровню риска, руководствуясь нормами пунктов 8–16 Требований.

Так, если проведенная оценка выявит необходимость минимального (четвертого) уровня защиты, компания должна принять следующие меры (п. 13 Требований):

• ограничить несанкционированный доступ посторонних лиц к помещению, где размещается информационная система;
• обеспечить физическую безопасность устройств хранения персональных данных;
• установить порядок допуска персонала к личной информации через трудовые обязанности;
• использовать сертифицированные защитные программы и оборудование, если угроза конфиденциальности требует этого.

Дополнительно необходимо сотрудничать с государственной системой мониторинга кибератак на российские информационные системы, своевременно сообщая обо всех случаях компрометации личных сведений сотрудников (ч. 12 ст. 19 ФЗ-152). Порядок уведомления утверждается Приказом ФСБ № 77 от 13.02.2023.

Какая информация не относится к персональным данным, рассказывается в материале.

Обработка и защита персональных данных работника: нарушение конфиденциальности

При обнаружении факта нарушения конфиденциальности личных сведений сотрудников необходимо в течение суток после происшествия направить уведомление в Роскомнадзор (п. 1 ч. 3.1 ст. 21 ФЗ-152). Уведомление должно содержать следующую информацию:

• описание произошедшего события и предположительные причины утечки;
• возможные последствия данного инцидента для сотрудников;
• меры, принятые для устранения последствий случившегося;
• контактное лицо организации, ответственное за взаимодействие с Роскомнадзором относительно данного случая.

После уведомления также требуется инициировать собственное внутреннее расследование обстоятельств происшествия. Результаты расследования необходимо предоставить в Роскомнадзор не позднее трех суток с момента установления факта утечки данных. Если имеются конкретные виновники инцидента, то их имена тоже должны быть указаны в отчете (п. 2 ч. 3.1 ст. 21 ФЗ-152).

О проведении проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов рассказывается в материале.

Некоторые категории организаций, такие как субъекты критически важной информационной инфраструктуры, обязаны сообщать о происшествиях в сфере кибербезопасности. Эти компании имеют право обращаться за помощью в Национальный координационный центр по компьютерным инцидентам для оперативного реагирования на угрозы.

Каковы возможные последствия отсутствия мер защиты персональных данных сотрудников

При отсутствии должных мер защиты возникают следующие потенциальные угрозы:

1. Административная ответственность, например, когда данные обрабатываются вручную и нарушаются правила обеспечения их конфиденциальности, приводящие к несанкционированному или случайному доступу, утрате, изменению, блокировке, копированию, передаче или распространению сведений. За такое нарушение предусмотрена санкция в виде штрафа от 8 до 20 тысяч рублей для должностных лиц (п. 6 ст. 13.11 КоАП).
2. Уголовная ответственность наступает, если персональные данные незаконно используются, передаются третьим лицам, собираются или хранятся посредством компьютерных систем, полученных преступным путем. Наказание варьируется от штрафов до реального тюремного заключения (п. 1 и 2 ст. 272.1 УК).

Размеры штрафов за персональные данные приведены здесь.

Итоги

Порядок обработки персональных данных работников не ограничен законодательством РФ. Однако закон обязывает операторов обрабатывать данные ответственно, обеспечивая полную безопасность с учетом самостоятельно разработанного пакета документов. Важно учитывать соблюдение правил хранения и защиты персональных данных во избежание как административной, так и уголовной ответственности за их нарушение.