Организация программной защиты персональных данных, содержащихся в информационной системе работодателя
Большинство организаций используют электронные системы хранения и обработки персональных данных.
При обработке таких данных работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119 (далее - Требования) (п. 3 Требований, п. 2 ст. 3 Закона о персональных данных).
Существуют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе (п. 6 Требований) Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно (п. 7 Требований).
Исходя из типа угрозы применяется один из четырех уровней защиты персональных данных (п. п. 8 - 16 Требований). Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21.
Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю нужно (п. 13 Требований):
- обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
- обеспечить сохранность носителей персональных данных;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
- издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.
См. образец составления приказа.
Организация доступа работников к персональным данным других работников
В соответствии со ст. 88 ТК РФ работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
Однако возникают случаи, когда отдельным работникам нужно получить информацию о персональных данных других работников, которые они намереваются использовать при выполнении трудовых обязанностей. Например, бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы или уплаты соответствующих взносов, при направлении работников в командировку секретарю (или иному лицу) понадобятся паспортные данные последних для покупки билетов, юрисконсульту организации данные работников могут понадобиться для оформления доверенностей и т.д. В соответствии со ст. 88 ТК РФ работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных функций. Например, доступ к персональным данным работников обычно устанавливается для руководителя организации, руководителей структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения), руководителю нового подразделения - при переводе сотрудника из одного структурного подразделения в другое, работникам бухгалтерии и отдела кадров. Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации. Подробнее об этом см. п. 4 настоящего материала.
См. образец составления приказа.
Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным
В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.
См. образец составления обязательства.