Środki techniczne mające na celu ochronę danych osobowych. Ochrona danych osobowych w organizacji: instrukcja krok po kroku

Przyjęty 27 lipca 2006 r Ustawa federalna nr 152-FZ „O danych osobowych” zapewnienia ochrony praw i wolności człowieka i obywatela podczas przetwarzania jego danych osobowych, w tym ochrony prawa do integralności prywatność, osobiste i rodzinny sekret. Jednym z powodów przyjęcia tej ustawy były liczne przypadki kradzieży baz danych osobowych w strukturach rządowych i komercyjnych oraz ich masowa sprzedaż.

Co oznacza termin „dane osobowe”?

Definicja danych osobowych (PD) znajdowała się jeszcze przed przyjęciem ustawy, np. w „Wykazie informacji poufny", zatwierdzony Dekret Prezydenta Federacji Rosyjskiej nr 188 z dnia 6 marca 1997 r.:

DO informacje poufne zaliczają się: informacje o faktach, wydarzeniach i okolicznościach z życia prywatnego obywatela, pozwalające na rozpoznanie jego tożsamości (dane osobowe), z wyjątkiem informacji, które podlegają rozpowszechnianiu w środkach masowego przekazu środki masowego przekazu w przypadkach przewidzianych przez prawo federalne.

Ustawa je jednak uzupełniła. Teraz wg FZ-152 dane osobowe – wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie tych informacji (przedmiotu danych osobowych), w tym jej nazwisko, imię, patronimikę, rok, miesiąc, datę i miejsce urodzenia, adres, rodzinę, społeczny, stan majątkowy, wykształcenie, zawód, dochód, inne informacje.

Zatem dane osobowe to przede wszystkim dane paszportowe, informacje o stan cywilny, informacje o wykształceniu, numery NIP, certyfikat ubezpieczenia państwo ubezpieczenie emerytalne, ubezpieczenie zdrowotne, informacje dot aktywność zawodowa, status społeczny i majątkowy, informacje o dochodach. Prawie każda organizacja posiada takie dane.

Ubiegając się o pracę, są to dane z działu HR pracodawcy, które pracownik wskazuje w swojej karcie osobistej, autobiografii i innych dokumentach wypełnianych przy zawieraniu umowy o pracę.

Kiedy wchodzi dziecko przedszkole, szkoła, uczelnia, inne instytucje edukacyjne Wypełnianych jest także wiele ankiet i formularzy, w których podawane są dane zarówno dziecka (np. dane z aktu urodzenia), jak i jego rodziców (aż do miejsca pracy, zajmowanego stanowiska).

Podczas leczenia w instytucje medyczne konieczne jest podanie nie tylko danych paszportowych, ale także informacji o świadczeniach, ubezpieczenie zdrowotne, informacje o przebytych zabiegach, wyniki badań. W wielu placówkach medycznych duplikowana jest dokumentacja pacjentów ambulatoryjnych/szpitalnych forma elektroniczna.

A wszystkie te dane, zgodnie z obowiązującym prawem, podlegają ochronie.

Od czego zacząć ochronę i czy jest ona w ogóle konieczna?

Poufność danych osobowych to obowiązkowy wymóg, aby operator lub inna osoba mająca dostęp do danych osobowych nie dopuściła do ich rozpowszechniania bez zgody podmiotu danych osobowych lub istnienia innej podstawy prawnej ( FZ-152).

Operator – organ państwowy, samorządowy, osoba prawna lub osoba fizyczna, która organizuje i/lub dokonuje przetwarzania danych osobowych, a także ustala cele i treść przetwarzania danych osobowych ( FZ-152).

System informacyjny danych osobowych (PDIS) to system informacyjny będący zbiorem danych osobowych zawartych w bazie danych, a także technologiami informatycznymi i środkami technicznymi, które pozwalają na przetwarzanie tych danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez użycia takich narzędzi ( FZ-152).

Przetwarzanie danych osobowych to działania (operacje) na danych osobowych, w tym zbieranie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie danych osobowych ( FZ-152).

Podczas przetwarzania PD operator musi podjąć wszelkie niezbędne środki organizacyjne i środki techniczne w celu ochrony danych osobowych przed nieuprawnionym lub przypadkowym dostępem, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

Co należy zrobić, aby chronić dane osobowe?

Przede wszystkim należy ustalić, jakie systemy informacji o danych osobowych istnieją i jakiego rodzaju dane osobowe są w nich przetwarzane.

Klasyfikacja systemu informacji o danych osobowych

Aby zrozumieć, jak duży jest to problem Ochrona WNZ jest istotna, a także aby wybrać niezbędne metody i metody ochrony danych osobowych, operator musi dokonać klasyfikacji systemu informatycznego. Kolejność klasyfikacji jest ustalona na zamówienie FSTEC z Rosji, FSB Rosji i Ministerstwo Informacji i Komunikacji Rosji nr 55/86/20 z dnia 13 lutego 2008 r..

Operator tworzy zatem komisję (na polecenie kierownika organizacji), która po analizie wstępnych danych podejmuje decyzję o przypisaniu ISPD odpowiedniej klasy. Podczas klasyfikacji określa się:

• kategoria przetwarzanych danych osobowych;
• ilość przetwarzanych danych osobowych;
• rodzaj systemu informacyjnego;
• strukturę systemu informacyjnego i lokalizację jego środków technicznych;
• sposoby przetwarzania danych osobowych;
• tryby ograniczania praw dostępu użytkowników;
• Dostępność połączeń z sieciami użytku publicznego i (lub) międzynarodowe sieci wymiany informacji.

Według zamówienie nr 55/86/20, wszystkie systemy informacyjne (IS) dzielą się na standardowe i specjalne.

Typowe systemy informacyjne to systemy informacyjne, które wymagają jedynie zapewnienia poufności danych osobowych.

Specjalne systemy informacyjne to systemy informacyjne, w których niezależnie od konieczności zapewnienia poufności danych osobowych, konieczne jest zapewnienie co najmniej jednej z cech bezpieczeństwa danych osobowych innych niż poufność (ochrona przed zniszczeniem, modyfikacją, zablokowaniem, a także jak inne nieuprawnione działania).

W praktyce okazuje się, że praktycznie nie ma standardowych systemów informatycznych, gdyż w większości przypadków oprócz poufności konieczne jest także zapewnienie integralności i dostępności informacji. Ponadto w obowiązkowy Systemy specjalne powinny obejmować:

• systemy informacyjne, w których przetwarzane są dane osobowe dotyczące stanu zdrowia osób, których dane dotyczą;
• systemy informatyczne, które zapewniają akceptację wyłącznie w oparciu o automatyczne przetwarzanie decyzje dotyczące danych osobowych, które generują skutki prawne w związku z przedmiotem danych osobowych lub w inny sposób wpływający na jego prawa i prawnie uzasadnione interesy.

Zatem na podstawie wyników analizy danych wyjściowych komisja przypisuje systemowi danych osobowych odpowiednią klasę:

klasa 1 (K1) – systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować znaczącymi negatywne konsekwencje dla podmiotów danych osobowych;

klasa 2 (K2) – systemy informatyczne, w przypadku których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych może skutkować negatywnymi konsekwencjami dla podmiotów danych osobowych;

klasa 3 (K3) – systemy informatyczne, w przypadku których naruszenie określonych zabezpieczeń danych osobowych przetwarzanych w nich może wywołać niewielkie negatywne skutki dla podmiotów danych osobowych;

klasa 4 (K4) – systemy informatyczne, dla których naruszenie określonych cech bezpieczeństwa przetwarzanych w nich danych osobowych nie powoduje negatywnych konsekwencji dla podmiotów danych osobowych.

Wyniki klasyfikacji dokumentowane są w Ustawie o klasyfikacji ISPD, która wskazuje rodzaj ISPD (standardowy, specjalny), klasę przypisaną ISPD oraz warunki, na podstawie których podjęto decyzję.

Jak już wspomniano, klasyfikacja jest konieczna do dalszego wyboru metod i środków ochrony danych osobowych przetwarzanych w ISPD, ponieważ dokumenty FSTEC i FSB ustalają dla każdej klasy własne wymagania dotyczące ochrony ISPD, o czym porozmawiamy nieco później.

Zgoda PD podlegającego przetwarzaniu

Następnie należy przystąpić do przetwarzania tych danych, jednak zanim ich przetwarzanie będzie zgodne z prawem, konieczne jest uzyskanie zgody podmiotu danych osobowych na przetwarzanie (prawo zapobiega w ten sposób nielegalnemu gromadzeniu i wykorzystywaniu danych osobowych) :

Artykuł 6 ustawy federalnej nr 152:

Przetwarzanie danych osobowych może odbywać się przez Operatora za zgodą podmioty danych osobowych, z wyjątkiem przypadków:

1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;

2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;

3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych ważnych celów ważne interesy podmiot danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

5) przetwarzanie danych osobowych jest niezbędne w celu doręczania przesyłek pocztowych przez organizacje poczta, dla operatorów telekomunikacyjnych dokonywania rozliczeń z użytkownikami usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także rozpatrywania roszczeń użytkowników usług komunikacyjnych;

6) przetwarzanie danych osobowych odbywa się na potrzeby związane z działalnością zawodową dziennikarza lub w celach naukowych, literackich lub innych działalność twórcza pod warunkiem nienaruszenia praw i wolności osoby, której dane dotyczą;

7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami federalnymi, w tym dane osobowe osób zastępujących stanowiska rządowe, stanowiska państwowej służby cywilnej, dane osobowe kandydatów na wybieralne stanowiska państwowe lub samorządowe.

Jeśli więc w naszym przypadku Przetwarzanie PD przewidziane w części 2 art. 6 ustawy federalnej nr 152, wówczas uzyskanie zgody nie jest konieczne.

Trzeba się także kierować Kodeks pracy, rozdział 14. Przykładowo pracodawca ma prawo otrzymać i przetwarzać dane dotyczące życia prywatnego pracownika wyłącznie od jego osoby pisemna zgoda (Art. 86 ust. 4 Kodeksu pracy).

Według Artykuł 9 ustawy federalnej nr 152 konieczne jest uzyskanie zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych w na piśmie. Pisemna zgoda osoby, której dane dotyczą, musi zawierać:

Nazwisko, imię, patronimika, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informacja o dacie wydania określonego dokumentu oraz organ wydający;

Imię i nazwisko (nazwisko, imię, nazwisko rodowe) i adres operatora otrzymującego zgodę podmiotu danych osobowych;

Cel przetwarzania danych osobowych;

Wykaz danych osobowych, na przetwarzanie których wyrażana jest zgoda podmiotu danych osobowych;

Lista działań na danych osobowych, na które wyrażana jest zgoda, opis ogólny sposoby stosowane przez operatora przy przetwarzaniu danych osobowych;

Okres obowiązywania zgody i tryb jej wycofania.

Regulamin regulujący procedurę przetwarzania i ochrony danych osobowych

Tym samym operator otrzymał (jeżeli jest taka potrzeba) zgodę na przetwarzanie danych osobowych – dane osobowe mogą być przetwarzane. Ale według Kodeks Pracy I FZ-152 konieczne jest opracowanie (jeśli takowe istnieje, sfinalizowanie zgodnie z ustawą federalną) rozporządzenia regulującego tryb przechowywania, przetwarzania i ochrony danych osobowych. Nazwijmy to Rozporządzeniem o zapewnieniu bezpieczeństwa danych osobowych. Przepis dotyczący zapewnienia bezpieczeństwa danych osobowych jest dokumentem wewnętrznym (lokalnym) organizacji. Dokument ten nie ma ścisłej formy, ale musi spełniać wymagania TK I FZ-152, a zatem powinien wskazywać:

Rozporządzenie w sprawie zapewnienia bezpieczeństwa danych osobowych zatwierdza kierownik organizacji lub osoba przez niego upoważniona i wprowadza w życie zarządzeniem kierownika. Pracodawca ma obowiązek zapoznać pracownika z Regulaminem za podpisem.

Lista osób uprawnionych do przetwarzania danych osobowych

Ponadto konieczne jest sporządzenie wykazu osób uprawnionych do przetwarzania danych osobowych, tj. wykaz osób (według stanowiska), które potrzebują dostępu do danych osobowych w celu wykonywania swoich obowiązków służbowych. Są to przede wszystkim pracownicy obsługi personalnej, gdyż gromadzą i generują dane o pracowniku, a także pracownicy księgowi. Ponadto kierownicy jednostek strukturalnych (na przykład kierownicy działów) mogą uzyskać dostęp do tych informacji - i to również należy odzwierciedlić na liście. Jednak wszyscy mają prawo żądać nie żadnych danych, a jedynie tych, które są niezbędne do wykonywania określonych funkcji pracowniczych (na przykład w celu obliczenia ulg podatkowych dział księgowości nie otrzyma wszystkich informacji o pracowniku, a jedynie dane dotyczące liczba osób na jego utrzymaniu). Dlatego wskazane jest spisanie listy zasobów informacyjnych, do których użytkownicy mają dostęp.

Wykaz osób upoważnionych do przetwarzania danych osobowych może zostać sporządzony jako załącznik do Regulaminu zapewnienia bezpieczeństwa danych osobowych lub odrębny dokument, zatwierdzony przez kierownika.

Powiadomienie Roskomnadzoru

Dalej zgodnie z Artykuł 22 FZ-152 Przed przetwarzaniem danych osobowych operator jest zobowiązany powiadomić upoważniony organ ds. ochrony praw osób, których dane dotyczą (dziś jest to Federalna Służba Nadzoru Łączności, Technologii Informacyjnych i komunikacja masowa(Roskomnadzor)) o zamiarze przetwarzania PD, z wyjątkiem przypadków przewidzianych Część 2 artykułu 22 ustawy federalnej nr 152:

Operator ma prawo dokonać bez uprzedzenia uprawniony organ w celu ochrony praw osób, których dane dotyczą, przetwarzających dane osobowe:

1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i są wykorzystywane przez operator wyłącznie do wykonania wspomniane porozumienie oraz zawieranie umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez właściwe stowarzyszenie publiczne lub organizacja religijna działając zgodnie z prawem Federacja Rosyjska, do osiągnięcia zgodnych z prawem celów przewidzianych przez ich dokumenty założycielskie pod warunkiem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

4) które stanowią publicznie dostępne dane osobowe;

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej ustanawiającymi wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą

Wymagania dotyczące powiadomień są określone w Część 3 Artykuł 22 FZ-152. Formularz zgłoszenia przetwarzania (zamiaru przetwarzania) danych osobowych można wypełnić elektronicznie na stronie internetowej Roskomnadzor: http://rsoc.ru/personal-data/p181/

Teraz możesz rozpocząć przetwarzanie danych osobowych, jednocześnie rozwiązując najtrudniejsze i problematyczna kwestia— zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania.

Zapewnienie bezpieczeństwa danych osobowych podczas ich przetwarzania

Środki bezpieczeństwa informacji są pracochłonne i mogą prowadzić do znacznych skutków koszty finansowe, co wynika z potrzeby:

Uzyskaj (jeśli to konieczne) licencję na prowadzenie działalności zabezpieczenie techniczne informacje poufne FSTEC z Rosji;

Zaangażowanie licencjobiorcy FSTEC Rosji do wdrożenia środków w celu stworzenia systemu ochrony ISPD i/lub jego certyfikacji zgodnie z wymogami bezpieczeństwa informacji;

Wysyłaj pracowników odpowiedzialnych za zapewnienie bezpieczeństwa informacji na zaawansowane szkolenia z zakresu bezpieczeństwa informacji i/lub zatrudniaj specjalistów ds. bezpieczeństwa informacji;

Zainstaluj narzędzia bezpieczeństwa informacji certyfikowane zgodnie z wymogami FSTEC i narzędzia z certyfikatem FSB ochrona kryptograficzna informacji (CIPF) w zależności od klasy ISPD.

Niektóre rzeczy możesz zrobić sam, ale w innych lepiej zaufać ekspertom. Jednak ochrona danych osobowych jest konieczna w taki czy inny sposób.

Artykuł 19, ustawa federalna-152:

Przetwarzając dane osobowe, operator ma obowiązek podjąć niezbędne środki organizacyjne i techniczne, aby chronić dane osobowe przed nieuprawnionym lub przypadkowym dostępem, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechnianiem danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

• „Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych” został zatwierdzony Dekretem Rządu Federacji Rosyjskiej nr 781 z dnia 17 listopada 2007 r.
• „Przepisy dotyczące specyfiki przetwarzania danych osobowych bez użycia narzędzi automatyzacji” zostały zatwierdzone dekretem Rządu Federacji Rosyjskiej nr 687 z dnia 15 września 2008 r.
• „Wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologii przechowywania takich danych poza systemami informacyjnymi danych osobowych” zostały zatwierdzone dekretem Rządu Federacji Rosyjskiej nr 512 z dnia 6 lipca 2008 r.
• Specjalne wymagania i zalecenia dotyczące technicznej ochrony informacji poufnych (STR-K), zatwierdzone zarządzeniem Państwowej Komisji Technicznej Rosji nr 282 z 30 sierpnia 2002 r. (DSP)
• Podstawowy model zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Wyciąg, przy rozważaniu zagrożeń wycieku informacji kanałami bocznymi promieniowanie elektromagnetyczne i zakłóceń (PEMIN) należy skorzystać z pełnej wersji tego dokumentu – DSP)
• Metodologia określania aktualnych zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Decyzją FSTEC z dnia 16 listopada 2009 r. usunięto oznaczenie „do użytku służbowego”)
• Zalecenia dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Decyzją FSTEC z dnia 11 listopada 2009 r. usunięto oznaczenie „do użytku służbowego”)
• Główne środki organizacji i technicznego zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych danych osobowych z dnia 15 lutego 2008 r. (Znak „do użytku służbowego” został usunięty decyzją FSTEC z dnia 11 listopada 2009 r.)
• Zalecenia metodologiczne dotyczące zapewnienia bezpieczeństwa danych osobowych z wykorzystaniem narzędzi kryptograficznych podczas ich przetwarzania w systemach informatycznych danych osobowych z wykorzystaniem narzędzi automatyzacji. FSB, 21 lutego 2008 r
• Standardowe wymagania dotyczące organizacji i zapewnienia funkcjonowania środków szyfrowania (kryptograficznych) mających na celu ochronę informacji niezawierających informacji stanowiących tajemnica państwowa w przypadku ich wykorzystania w celu zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych. FSB, 21 lutego 2008 r

Nie będziemy szczegółowo omawiać wszystkich wymagań, które należy spełnić, aby zapewnić Bezpieczeństwo PD podczas przetwarzania ich w ISPD jest ich wiele i silnie zależą od konkretnego ISPD. Zastanówmy się nad głównymi punktami, które często powodują trudności dla operatorów.

Licencja – zdobyć czy nie dostać?

Ustawodawstwo, a także Dokumenty FSTEC powiedz nam, co następuje:

Artykuł 16 część 6 ustawy federalnej nr 149„O informacji technologia informacyjna i o ochronie informacji” z dnia 27 lipca 2006 r.:

Przepisy federalne mogą nakładać ograniczenia na użytkowanie określone fundusze ochrona informacji i realizacja określonych rodzajów działań z zakresu ochrony informacji.

Artykuł 17, część 1, klauzula 11 ustawy federalnej nr 128„O licencjonowaniu niektórych rodzajów działalności” z dnia 8 sierpnia 2001 r.:

Zgodnie z niniejszą ustawą federalną licencjonowanie podlega następujące typy działalność: działalność na rzecz technicznej ochrony informacji poufnych.

Dekret Rządu Federacji Rosyjskiej nr 504„O działalności licencyjnej w zakresie technicznej ochrony informacji poufnych” z dnia 15 sierpnia 2006 r.

Przez techniczną ochronę informacji poufnych rozumie się zespół środków i (lub) usług mających na celu ochronę ich przed nieuprawnionym dostępem, w tym kanały techniczne, a także przed szczególnym wpływem na takie informacje w celu ich zniszczenia, zniekształcenia lub zablokowania dostępu do nich.

Główne wydarzenia FSTEC

Punkt 3.14

Zgodnie z przepisami Prawo federalne Nr 128 „W sprawie licencjonowania niektórych rodzajów działalności” oraz wymagania dekretu rządowego nr 504 „W sprawie licencjonowania działalności w zakresie technicznej ochrony informacji poufnych” Operatorzy ISPD podczas wykonywania środków zapewniających bezpieczeństwo danych osobowych (informacje poufne) w trakcie ich przetwarzania w klasach ISPD 1, 2 i 3 (systemy rozproszone) muszą uzyskać licencję na prowadzenie działalności w zakresie technicznej ochrony informacji poufnych w w przepisany sposób.

Również szef wydziału FSTEC Rosji Igor Grigoriewicz NAZAROV odpowiedział na pytanie o potrzebę posiadania licencji przy okrągłym stole zorganizowanym przez magazyn „Połącz! Świat komunikacji” (http://www.connect.ru/article.asp?id=9406):

Pytanie: Czy operatorzy przetwarzający dane osobowe w ISPD muszą uzyskać licencję na techniczną ochronę informacji poufnych?

Igor Nazarow: Zgodnie z dokumentami FSTEC licencja jest wymagana dla operatorów PD, którzy samodzielnie prowadzą taką działalność, korzystając z systemów informatycznych klasy 1, 2 i terytorialnie systemy rozproszone Klasa 3 to z reguły duże rządowe systemy informacyjne. Jednocześnie w przypadku przychodni, przedszkoli, aptek itp. z ISPD klas 3 i 4 uzyskanie takich licencji nie jest wymagane.

Zgodnie z Dekretem Rządu Federacji Rosyjskiej z dnia 17 listopada 2007 r. nr 781, w przypadku zawarcia przez operatora ISPDn umowy o podjęcie odpowiednich działań w zakresie ochrony informacji (PD) z osobą upoważnioną – licencjobiorcą FSTEC z Rosji, nie jest wymagane posiadanie licencji.

Zatem w przypadku małych organizacji zamiast pozyskiwać licencję FSTEC TZKI na prowadzenie działań zapewniających bezpieczeństwo danych osobowych (stworzenie systemu ochrony ISPD, certyfikacja) bardziej opłacalne będzie pozyskanie licencjobiorcy FSTEC, który będzie wykonać wszystkie niezbędne prace.

Dla duże organizacje(takich jak operatorzy telekomunikacyjni, duże banki itp.) - bardziej opłaca się samodzielnie uzyskać licencję i wykonać wszystkie niezbędne prace.

Określa się tryb udzielania licencji na prowadzenie działalności w zakresie technicznej ochrony informacji poufnych „Regulamin działalności licencyjnej w zakresie technicznej ochrony informacji poufnych„(zatwierdzony dekretem rządu Federacji Rosyjskiej z dnia 15 sierpnia 2006 r. nr 504). Wymagania do uzyskania licencji:

a) obecność w personelu ubiegającego się o licencję (licencjobiorcę) specjalistów, którzy posiadają wyższe wykształcenie zawodowe w zakresie bezpieczeństwa informacji technicznych lub wykształcenie wyższe lub średnie zawodowe (techniczne) i przeszli przekwalifikowanie lub szkolenie zaawansowane w zakresie zagadnień bezpieczeństwa informacji technicznych ;

b) obecność pomieszczeń dla ubiegającego się o licencję (licencjobiorcę) do prowadzenia licencjonowanej działalności zgodnej ze standardami technicznymi i wymaganiami dotyczącymi technicznej ochrony informacji ustanowionymi w regulacyjnych aktach prawnych Federacji Rosyjskiej i będących jego własnością na mocy prawa własności lub inaczej prawnie;

c) obecność, na jakiejkolwiek podstawie prawnej, sprzętu do produkcji, testowania i kontroli, zatwierdzonego zgodnie z ustawodawstwem Federacji Rosyjskiej weryfikacja metrologiczna(kalibracja), etykietowanie i certyfikacja;

d) używać systemy automatyczne przetwarzanie informacji poufnych, a także środki ochrony takich informacji, które przeszły procedurę oceny zgodności (certyfikowane i (lub) certyfikowane zgodnie z wymogami bezpieczeństwa informacji) zgodnie z ustawodawstwem Federacji Rosyjskiej;

e) korzystania z programów komputerowych i baz danych przeznaczonych do prowadzenia działalności licencjonowanej na podstawie umowy z podmiotem praw autorskich;

f) dostępność regulacyjnych aktów prawnych, dokumentów regulacyjnych, metodologicznych i metodologicznych dotyczących zagadnień ochrony informacji technicznych zgodnie z listą ustaloną przez Federalną Służbę Kontroli Technicznej i Eksportu.

Etapy tworzenia SZPDn

Według Główne wydarzenia na temat organizacji i wsparcie techniczne bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych danych osobowych wydanych przez FSTEC, utworzenie systemu ochrony danych osobowych (PDPS) składa się z następujących etapów:

1 Etap przedprojektowy

1.1 oględziny obiektu informatyzacji:

• ustalenie konieczności przetwarzania PD w ISPD;
• ustalenie wykazu danych osobowych podlegających ochronie;
• określenie warunków lokalizacji ISPD względem granic obszaru kontrolowanego (CA);
• określenie konfiguracji i topologii ISPD jako całości i jej poszczególne komponenty; powiązania fizyczne, funkcjonalne i technologiczne zarówno w ramach ISPD, jak i z innymi systemami o różnym poziomie i przeznaczeniu;
• określenie środków technicznych i systemów stosowanych w chronionym ISPD, warunków ich lokalizacji;
• identyfikacja oprogramowania systemowego, specjalnego i aplikacyjnego wykorzystywanego w chronionym ISPD;
• określenie trybu przetwarzania informacji w ISPD jako całości i w poszczególnych elementach;
• przeprowadzanie klasyfikacji ISPD;
• określanie stopnia udziału personelu w przetwarzaniu (dyskusja, przekazywanie, przechowywanie) informacji, charakteru ich wzajemnych interakcji;
• identyfikacja i sporządzenie listy podatności i zagrożeń bezpieczeństwa informacji, ocena istotności zagrożeń dla bezpieczeństwa informacji;
• rozwój modelka prywatna zagrożenia.

1.2 rozwój zakres obowiązków utworzyć SZPDn, który powinien zawierać:

• uzasadnienie potrzeby opracowania SPDn;
• dane źródłowe ISPD w aspekcie technicznym, programowym, informacyjnym i organizacyjnym;
• klasa ISPDn;
• link do dokumentów regulacyjnych, biorąc pod uwagę, który SPPD zostanie opracowany, a ISPD przyjęty do użytku;
• specyfikacja działalności i wymagań dla SZPD;
• wykaz certyfikowanych narzędzi bezpieczeństwa informacji przeznaczonych do stosowania;
• uzasadnienie opracowania własnych narzędzi bezpieczeństwa informacji w przypadku braku możliwości lub niepraktycznego wykorzystania dostępnych na rynku certyfikowanych narzędzi bezpieczeństwa informacji;
• skład, treść i harmonogram prac na etapach opracowania i wdrożenia SPDn.

2. Etap projektowania i realizacji SZPDn

2.1 opracowanie projektu utworzenia SZPDn;

2.2 opracowanie środków organizacyjnych i technicznych zapewniających ochronę informacji zgodnie z wymaganiami;

2.3 zakup certyfikowanych narzędzi bezpieczeństwa informacji;

2.4 opracowanie i wdrożenie systemu zezwoleń na dostęp użytkowników i personelu do informacji przetwarzanych w ISPD;

2.5 instalacja i konfiguracja urządzeń informacyjnych i informacyjnych;

2.6 identyfikacja działów i osób odpowiedzialnych za działanie narzędzi bezpieczeństwa informacji, przeszkolenie wyznaczonych osób ze specyfiki pracy przy ochronie danych osobowych;

2.7 rozwój dokumentacja operacyjna w sprawie ISPD i narzędzi bezpieczeństwa informacji oraz dokumentacji organizacyjno-administracyjnej dotyczącej bezpieczeństwa informacji (regulaminy, zarządzenia, instrukcje i inne dokumenty);

2.8 wdrażanie innych środków mających na celu ochronę informacji.

3. Etap wprowadzania w życie SZPDn

3.1 próbne działanie narzędzi bezpieczeństwa informacji w połączeniu z innym sprzętem i oprogramowaniem w celu przetestowania ich działania w ramach ISPD;

3.2 badania akceptacyjne sprzętu bezpieczeństwa informacji na podstawie wyników eksploatacji próbnej z wykonaniem protokołu odbioru;

3.3 ocena zgodności ISPD z wymogami bezpieczeństwa informacji - certyfikacja (deklaracja) zgodnie z wymogami bezpieczeństwa informacji.

4. Utrzymanie i wsparcie systemu bezpieczeństwa informacji

Dokumentacja organizacyjno-administracyjna dotycząca ochrony danych osobowych

Oprócz rozwiązań technicznych dla tworzonego systemu ochrony danych osobowych, operator musi zapewnić opracowanie dokumentów organizacyjnych i administracyjnych, które będą regulowały wszelkie pojawiające się kwestie związane z zapewnieniem bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD i funkcjonowaniem SPPD. Takich dokumentów jest sporo, najważniejsze z nich to:

1. Przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych – na początku artykułu poruszyliśmy już temat celu i składu tego dokumentu. Na wszelki wypadek powtarzamy – powinno wskazywać:

Cel i zadania w zakresie ochrony danych osobowych;

Pojęcie i skład danych osobowych;

W jakich jednostkach strukturalnych i na jakich nośnikach (papierowym, elektronicznym) te dane są gromadzone i przechowywane;

W jaki sposób gromadzone i przechowywane są dane osobowe;

Jak są przetwarzane i wykorzystywane;

Kto (według stanowiska) w firmie ma do nich dostęp;

Zasady ochrony danych osobowych, w tym przed nieuprawnionym dostępem;

Prawa pracowników zapewniające ochronę ich danych osobowych;

Odpowiedzialność za ujawnienie informacji poufnych dotyczących danych osobowych pracowników.

Ogłoszenie w celu wykonania określonych czynności w odniesieniu do określonych zasobów informacyjnych ISPD – czytanie, pisanie, poprawianie, usuwanie). Obydwa dokumenty zatwierdza menadżer.

3. Model zagrożenia prywatnego (w przypadku kilku ISDN, dla każdego z nich opracowywany jest model zagrożenia) – opracowany na podstawie wyników wstępnej ankiety. FSTEC z Rosji oferuje Podstawowy model zagrożeń bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, zgodnie z którymi przy tworzeniu modelu prywatnego należy uwzględnić:

Zagrożenia wyciekiem informacji kanałami technicznymi;

Zagrożenia nieuprawnionym dostępem związane z działaniami osób naruszających prawo, które mają dostęp do ISPD i realizują zagrożenia bezpośrednio w ISPD. W takim przypadku należy uznać legalnych użytkowników ISPD za potencjalnych sprawców naruszenia;

Zagrożenia nieuprawnionym dostępem związane z działaniami osób naruszających prawo, które nie mają dostępu do ISPD, wdrażających zagrożenia z zewnętrznych sieci komunikacji publicznej i (lub) międzynarodowych sieci wymiany informacji.

Opracowany model zagrożeń podlega zatwierdzeniu przez menedżera.

4. W oparciu o zatwierdzony model zagrożeń ISPD konieczne jest opracowanie wymagań zapewniających bezpieczeństwo danych osobowych przetwarzanych w ISPD. Wymagania, podobnie jak model zagrożenia, są niezależny dokument, który musi zostać zatwierdzony przez kierownika organizacji.

Do opracowania modelu zagrożeń i wymagań wskazane jest, aby operator zaangażował specjalistów z organizacji licencjobiorców FSTEC.

5. Instrukcje dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w ISPD.

Ponadto, przed podjęciem wszelkich działań mających na celu ochronę danych osobowych, operator musi wyznaczyć urzędnika lub (jeśli system informatyczny jest wystarczająco duży) jednostkę strukturalną odpowiedzialną za zapewnienie bezpieczeństwa danych osobowych. Decyzję o powołaniu formalizuje się na mocy zarządzenia kierownika. Zadania, funkcje i uprawnienia urzędnika (komórki) odpowiedzialnego za zapewnienie bezpieczeństwa PD określają wewnętrzne dokumenty organizacyjno-administracyjne ( opisy stanowisk, regulamin).

Co trzeba certyfikować, a co nie?

Często panuje błędne przekonanie, że wszystko było używane oprogramowanie(oprogramowanie) musi być certyfikowane, a certyfikacja jest kosztowna i czasochłonna.

Żaden z dokumentów regulujących kwestie ochrony danych osobowych nie mówi jednak, że każde oprogramowanie musi być certyfikowane. Narzędzia bezpieczeństwa informacji muszą być certyfikowane zgodnie z wymogami FSTEC Rosji, ale nie system, aplikacja lub specjalne oprogramowanie, które nie jest zaangażowane w ochronę ISPD.

Igor Nazarow:…certyfikacja kontrolna brak NDV dotyczy funkcji bezpieczeństwa, w szczególności narzędzi bezpieczeństwa, a nie całego oprogramowania, w którym jest używane systemu informacyjnego(http://www.connect.ru/article.asp?id=9406).

Dziś dokumenty FSTEC, które można obejrzeć na stronie internetowej Służba federalna w sprawie kontroli technicznej i eksportu mówią nam na ten temat, co następuje:

ISPD musi stosować wyłącznie środki techniczne i systemy ochrony certyfikowane zgodnie z wymogami bezpieczeństwa informacji.

Główne wydarzenia…

Punkt 4.2:... ISPD musi monitorować obecność niezadeklarowanych możliwości w oprogramowaniu i sprzęcie oraz analizować bezpieczeństwo systemu i oprogramowania użytkowego.

Punkt 4.3: W przypadku oprogramowania służącego do ochrony informacji w ISPD (narzędzi bezpieczeństwa informacji, w tym wbudowanych w oprogramowanie systemowe i aplikacyjne) należy zapewnić odpowiedni poziom kontroli pod kątem braku w nim danych o niezgodnościach.

Nie ma zatem konieczności certyfikowania oprogramowania systemowego i aplikacyjnego, jeśli nie jest ono objęte procesem bezpieczeństwa informacji – może to zrobić według uznania operatora.

Praktyka tworzenia systemów ochrony danych osobowych pokazuje, że konieczne jest stosowanie licencjonowanego oprogramowania (systemowego, aplikacyjnego i specjalnego) oraz certyfikowanych narzędzi bezpieczeństwa informacji i ochrony antywirusowej (mogą to być zabezpieczenia informacji zawartych w danych osobowych, produkty antywirusowe , zapory sieciowe, narzędzia do wykrywania włamań, narzędzia do analizy bezpieczeństwa, odpowiadające określonej klasie). Jeżeli w ISPD zainstalowane są narzędzia bezpieczeństwa informacji kryptograficznych (CIPF), muszą one również posiadać certyfikat zgodnie z wymogami FSB Rosji.

Należy zauważyć, że tylko licencjobiorca FSTEC ma prawo zainstalować certyfikowane informacje dotyczące bezpieczeństwa informacji, a licencjobiorca FSB ma prawo zainstalować CIPF.

Orzecznictwo

Ostatnim etapem tworzenia systemu ochrony ISPD powinna być certyfikacja (deklaracja zgodności) – zespół działań organizacyjno-technicznych, w wyniku którego poprzez specjalny dokument— Certyfikat zgodności (Wniosek) potwierdza, że ​​ISPD spełnia wymagania norm lub innych dokumentów regulacyjnych i metodologicznych dotyczących bezpieczeństwa informacji. Posiadanie ważnego Certyfikatu Zgodności uprawnia do przetwarzania informacji z zachowaniem odpowiedniego poziomu poufności przez okres czasu określony w Certyfikatze Zgodności.

Pytanie: Kto może certyfikować zakłady pracy pod kątem zgodności z wymogami prawnymi i dokumenty regulacyjne w zakresie danych osobowych?

Igor Nazarow: Licencjobiorcy FSTEC posiadający licencję na działalność w zakresie technicznej ochrony informacji poufnych mają prawo do certyfikacji ISPDn pod kątem zgodności z wymogami bezpieczeństwa informacji (http://www.connect.ru/article.asp?id=9406).

Certyfikacja zapewnia należytą staranność(testy certyfikacyjne) ISPDn w realne warunki eksploatacji w celu oceny zgodności przyjętego zestawu zabezpieczeń z wymaganym poziomem bezpieczeństwa WNZ.

W widok ogólny Certyfikacja ISPD zgodnie z wymogami bezpieczeństwa informacji obejmuje następujące etapy:

Analiza wstępnych danych na temat certyfikowanego ISPD;

Przeprowadzanie ekspertyz systemów informatycznych oraz analizy opracowanej dokumentacji w celu zapewnienia bezpieczeństwa danych osobowych pod kątem zgodności z wymogami dokumentów regulacyjnych i metodologicznych;

Przeprowadzanie kompleksowych badań certyfikacyjnych ISPD w rzeczywistych warunkach pracy z wykorzystaniem specjalnego sprzętu monitorującego i oprogramowania monitorującego bezpieczeństwo przed nieuprawnionym dostępem;

Analiza wyników kompleksowych badań certyfikacyjnych, przygotowanie i zatwierdzenie Wniosku oraz Certyfikatu Zgodności na podstawie wyników certyfikacji.

Ważną kwestią jest to, że w przypadku zmiany warunków i technologii przetwarzania PD, operator ma obowiązek powiadomić organizację licencjobiorczą, która przeprowadziła certyfikację ISPD. Następnie organizacja licencjobiorcy decyduje o konieczności przeprowadzenia dodatkowa kontrola skuteczność systemu ochrony ISPD.

Odpowiedzialność i ryzyko związane z nieprzestrzeganiem wymogów prawnych

W przypadku niespełnienia wymogów zapewniających bezpieczeństwo danych osobowych, operator może narazić się na ryzyko roszczeń cywilnych ze strony klientów lub pracowników.

Co z kolei może wpłynąć na reputację firmy, a także doprowadzić do wymuszonego zawieszenia (zakończenia) przetwarzania PD, pociągnięcia firmy i (lub) jej menadżera do odpowiedzialności administracyjnej lub innego rodzaju, a w przypadku pewne warunki— do zawieszenia lub cofnięcia licencji. Ponadto, zgodnie z ustawą federalną, osoby winne naruszenia wymogów ponoszą kary cywilne, karne, administracyjne, dyscyplinarne i inne. przewidziane przez prawo Odpowiedzialność RF ( Artykuł 24 FZ-152):

Dyscyplinarny (Kodeks pracy Federacji Rosyjskiej, art. 81, 90, 195, 237, 391);

Administracyjny (Kodeks Federacji Rosyjskiej dot wykroczenia administracyjne, art. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Karny (Kodeks karny Federacji Rosyjskiej, artykuły 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).

Informacje o tożsamości osoby, w tym dane osobowe, podlegają ochronie prawnej. W Rosji zabrania się przekazywania informacji o osobie obcym bez jej wiedzy. Przewidziana jest za to kara - zarówno administracyjna, jak i karna! Oficerowi personalnemu grozi pociągnięcie do odpowiedzialności, jeśli wymagania prawne dotyczące ochrony danych osobowych zostaną naruszone. Przyjrzyjmy się szczegółowo, czym są dane osobowe pracownika, pojęciem i ich ochroną.

Ramy regulacyjne

Głównym prawem regulującym ochronę informacji o pracownikach jest ustawa federalna nr 152 z dnia 27 lipca 2006 r. Prawo określa, w jaki sposób należy przetwarzać dane osobowe. Przetwarzanie w naszym przypadku to gromadzenie dokumentów pracowniczych ( dokumenty osobiste i zlecenia pracy), tworzenie teczki osobowej i praca z programami komputerowymi dla personelu, w których wprowadzane są dane osobowe.

Podanie danych osobowych

Podanie danych osobowych jest przekazywanie raportów zawierających dane osobowe władzom, którzy mają prawo tego żądać . Na przykład do służby statystycznej lub urzędu rejestracji i poboru do wojska.

Zgodnie z prawem podmiot gospodarczy (w naszym przypadku urzędnik ds. kadr), tworzący akta osobowe pracowników, ma bezpośredni dostęp do danych osobowych wszystkich pracowników organizacji, w związku z czym ponosi osobistą odpowiedzialność w przypadku ujawnienia dane osobowe.

W przypadku umyślnego lub przypadkowego ujawnienia danych osobowych, operator może zostać pociągnięty do odpowiedzialności na podstawie aż trzech kodeksów:

• praca (TC);
• administracyjny (kodeks administracyjny);
• kryminalny (CC).

Odpowiedzialność i kara zgodnie z Kodeksem Pracy:

• zwolnienie na podstawie klauzuli „c” art. 90 za ujawnienie informacji;
• nagana, nagana albo zwolnienie z art. 192 – za nienależyte wykonanie obowiązków.

Odpowiedzialność zgodnie z Kodeksem wykroczeń administracyjnych:

• kara grzywny w wysokości 500 – 1000 rubli (wymogi art. 13.11 – za naruszenie prawa);
• kara w wysokości 2500–3000 rubli (wymagania art. 13.12 - w przypadku korzystania z niecertyfikowanych programów komputerowych).

Odpowiedzialność na podstawie Kodeksu karnego:

• grzywna od 100 do 300 tysięcy rubli lub w wysokości dwuletniego wynagrodzenia albo pozbawienia prawa do wykonywania pracy personalnej na okres do 5 lat, a także istnieje możliwość pozyskania praca przymusowa do 4 lat lub aresztu do 6 miesięcy. Za zbieranie danych osobowych przez funkcjonariusza bez jego zgody możesz także zostać skazany na karę pozbawienia wolności na okres do 4 lat – zgodnie z częścią 2 art. 137.

Jak widać kary są poważne, więc nie ryzykuj i zabierz ze sobą praca personalna zgodnie z przepisem 152.

Co obejmuje dane osobowe pracownika

Dane osobowe w rozumieniu ustawodawcy to wszelkie informacje, które pośrednio lub bezpośrednio dotyczą pracownika. Pracownik HR ma dostęp do następujących danych osobowych:

• adres;
• telefon;
• dane paszportowe;
• stan cywilny;
• stanowisko i zawód;
• wielkość wynagrodzenia;
• numer zaświadczenia o ubezpieczeniu emerytalnym;
• dane osobowe dotyczące rejestracji wojskowej;
• miejsce pracy;
• informacje o stażu pracy i miejscach pracy;
• informację o przyczynach zwolnienia z poprzedniej pracy;
• informacje o długach (o alimenty lub pożyczki);
• dane dotyczące zdrowia (niepełnosprawności).

Jest to rodzaj informacji o pracownikach, które należy odpowiednio chronić.

Ochrona danych osobowych pracowników

Dokumenty działu HR dotyczące nomenklatury muszą zawierać Regulamin danych osobowych pracowników. Ta ustawa lokalna musi być dokładnie zgodna z ustawą 152. Sposób sporządzenia i zatwierdzenia rozporządzenia wyjaśnimy w osobnym artykule, ale na razie wróćmy do wymogów prawa.

Artykuł 19 Ustawy i Wymogów Ochrony Danych zobowiązuje inspektora personalnego do tego następujące środki o ochronie informacji:

• akta osobowe pracowników nie powinny być udostępniane osobom nieupoważnionym (powinny być przechowywane w sejfie);
• Programy komputerowe HR muszą być legalne i certyfikowane;
• ekran komputera, na którym zainstalowany jest program pracowniczy, nie powinien znajdować się w bezpośrednim świetle osób nieuprawnionych, podobnie jak sam komputer nie powinien być używany przez osoby nieuprawnione;
• Komputer, z którego korzysta funkcjonariusz personelu, nie powinien mieć dostępu do Internetu, aby uniknąć zagrożeń wirusowych i kradzieży informacji;
• Na polecenie przełożonych należy wyznaczyć kierownika ds. personalnych odpowiedzialnego za przechowywanie i przetwarzanie danych osobowych;
• wszystkie pendrive'y, dyskietki lub dyskietki, a także dokumenty papierowe zawierające dane osobowe muszą być zarejestrowane w rejestrze i przechowywane w sejfie;
• Nie można przekazywać danych osobowych (w tym skanów i kopii dokumentów) faksem, e-mail lub telefonicznie.

Uwaga: każdy funkcjonariusz personalny wykorzystuje niepotrzebne dokumenty jako projekty. Jeśli dokument zawiera dane osobowe (na przykład robisz notatki). tylna strona kopie czyjegoś paszportu) – nie zostawiaj go na stole, nie dawaj nikomu, nie wyrzucaj do śmieci! Lepiej natychmiast zniszczyć wszystkie niepotrzebne dokumenty zawierające dane.

Zgoda pracownika na przetwarzanie danych osobowych

Artykuł 6 ustawy wyjaśnia warunki przetwarzania danych osobowych: każdy pracownik musi wyrazić pisemną zgodę na przetwarzanie swoich danych. Zgoda pracownika jest niezwykle ważna, nie zapominaj o niej! W prawie pracownika nazywano „podmiotem danych osobowych”, od którego wystarczy uzyskać pisemną zgodę na przetwarzanie jego danych osobowych. Wszystko na temat zgody opisano w art. 9 ustawy.

Podstawową zasadą uzyskania zgody jest to, że podpis na dokumencie zgody musi zostać złożony własnoręcznie przez pracownika lub jego przedstawiciela przez pełnomocnika (do dokumentu należy dołączyć pełnomocnictwo).

Dokument zgody musi zawierać:

• Imię i nazwisko, adres, seria, numer, data i miejsce wydania paszportu pracownika (i przedstawiciela, jeśli jest pełnomocnictwo);
• Imię i nazwisko, stanowisko i miejsce pracy oficera personalnego;
• cel przetwarzania danych;
• lista danych osobowych;
• listę działań, które menedżer HR wykona na danych;
• okres ważności zgody (okres umowy o pracę);
• podpis pracownika z transkrypcją.

Praca oficera personalnego jest interesująca, ale nie zapominaj o odpowiedzialności. Aby nie dać się złapać nieprzyjemna sytuacja, tutaj rozważane są pytania - czym są dane osobowe pracownika, koncepcja i ich ochrona.

Ochrona danych osobowych dzisiaj aktualny problem nie tylko w relacji pracownik-pracodawca, ale także w każdym obszarze, w którym gromadzone i przetwarzane są dane osobowe.

Przez aktualne ustawodawstwo Pracodawcy nie tylko mają obowiązek zapewnić przechowywanie i ochronę danych osobowych pracowników, ale są także odpowiedzialni za ich ujawnienie. Niedopuszczalność rozpowszechniania informacji o życiu prywatnym danej osoby bez jej zgody jest początkowo gwarantowana przez ustawodawstwo Federacji Rosyjskiej.

Przechowywanie danych osobowych – regulacje prawne

Relacje związane z przetwarzaniem danych osobowych regulują:

• Ustawa federalna z dnia 27 lipca 2006 r. N 152-FZ „O danych osobowych”;
• Rozdział 14 Kodeksu pracy Federacji Rosyjskiej.

Co dokładnie prawo rozumie przez dane osobowe? Są to wszelkie informacje, które bezpośrednio lub pośrednio dotyczą osoby fizycznej (podmiotu danych osobowych). Natomiast przetwarzaniem danych osobowych nazywane są wszelkie czynności dokonywane na danych osobowych, takie jak: gromadzenie, przechowywanie, utrwalanie, gromadzenie, wyjaśnianie, przekazywanie (dystrybucja), depersonalizacja i niszczenie. Zatem w taki czy inny sposób wszystkie organizacje stają przed przetwarzaniem danych osobowych nie tylko swoich pracowników, ale także klientów (na przykład przy wydawaniu kart bonusowych lub rabatowych) - w tym przypadku nazywa się je operatorami.

Ponieważ ani Kodeks pracy, ani 152-FZ nie określają, jakie konkretne dane są uważane za osobowe, Lista danych osobowych federalnych urzędników Ministerstwa Sprawiedliwości, zatwierdzona rozporządzeniem Ministerstwa Sprawiedliwości Rosji z dnia 21 marca 2013 r. N 36, może służyć jako podstawa do pracy.

Przetwarzanie danych osobowych i ich ochrona

Przepisy prawa ograniczają zakres informacji, jakie pracodawca ma prawo otrzymać i wykorzystać w odniesieniu do swoich pracowników. Jest to jedynie informacja charakteryzująca pracownika jako stronę umowy o pracę.

Obowiązek stosowania środków bezpieczeństwa zapewniających ochronę danych osobowych spoczywa na podmiotu je przetwarzającym.

Ważny! W oparciu o normy określone w art. 89 część 1 Kodeksu pracy Federacji Rosyjskiej pracodawca jest zobowiązany do zapoznania swoich pracowników z informacjami o ich danych osobowych i ich przetwarzaniu. Ponadto pracownicy i ich przedstawiciele muszą zostać zapoznani, przed podpisaniem, z dokumentami ustalającymi tryb przetwarzania danych osobowych, a także ich prawa i obowiązki w tym zakresie. Oznacza to, że konkretna procedura dostępu pracownika do jego danych osobowych musi zostać ustalona lokalnie regulamin. Trzeba to wziąć pod uwagę ten rozkaz musi gwarantować pracownikowi swobodę dostępu do jego danych osobowych.

Pozyskiwanie danych osobowych

Pracodawca powinien pamiętać, że wszystkie dane osobowe pracownika należy uzyskać od niego (klauzula 3, art. 86 Kodeksu pracy Federacji Rosyjskiej).

W niektórych przypadkach zgoda na przetwarzanie danych osobowych pracownika (kandydata) nie jest wymagana, jeśli informacja ta została otrzymana:

1. z dokumentów okazanych przy zawieraniu umowy o pracę;
2. na podstawie wyników obowiązkowego wstępnego badania lekarskiego dotyczącego stanu zdrowia;
3. w zakresie przewidzianym kartą imienną N T-2, m.in. dane osobowe bliskich krewnych;
4. z agencja rekrutacyjna, działający w imieniu wnioskodawcy;
5. z CV kandydata zamieszczonego w Internecie i dostępnego dla nieograniczonej liczby osób.

Jeżeli dane osobowe pracownika można pozyskać wyłącznie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać jego pisemną zgodę.

Powiadomienie musi wskazywać:

• cel pozyskania danych osobowych pracownika od osoby trzeciej;
• zamierzone źródła danych (od których będą wymagane informacje);
• sposoby pozyskiwania danych, ich charakter;
• możliwe konsekwencje odmowy uzyskania przez pracodawcę informacji od osoby trzeciej.

Jeżeli cele gromadzenia informacji różnią się od wymienionych w ust. 1 art. 86 Kodeksu pracy Federacji Rosyjskiej - pracodawca nie ma prawa żądać tego od osób trzecich, nawet za zgodą pracownika.

Środki ochrony danych osobowych

Aby zapewnić zewnętrzną ochronę danych osobowych pracowników, pracodawca jest zobowiązany podjąć następujące działania:

• zainstalować tryb dostępu I specjalne zamówienie przyjmowanie, rejestrowanie i monitorowanie działań gości;
• ustanowić specjalną procedurę wydawania przepustek i certyfikatów dla pracowników;
• stosować techniczne środki bezpieczeństwa;
• używać oprogramowania i sprzętu do ochrony informacji na nośnikach elektronicznych.

Mówiliśmy już, że prawo wymaga, aby przetwarzanie danych osobowych odbywało się za zgodą pracownika. W przypadku sporu, aby móc przedstawić dowód, wskazane jest sformalizowanie takiej zgody w formie pisemnej.

Jeżeli pracownik jest niezdolny do pracy, należy uzyskać od niego pisemną zgodę na przetwarzanie jego danych przedstawiciel prawny. W przypadku śmierci pracownika zgodę taką sporządzają jego spadkobiercy, chyba że otrzymał ją od samego pracownika za jego życia.

Nie zapominajmy, że pracownik ma prawo w każdej chwili wycofać zgodę na przetwarzanie danych osobowych.

W fazie rozwoju akt lokalny, który określi procedurę przetwarzania, przechowywania i wykorzystywania danych osobowych, może kierować się dekretem Rządu Federacji Rosyjskiej z dnia 15 września 2008 r. N 687 „W sprawie zatwierdzenia Regulaminu w sprawie specyfiki przetwarzania danych osobowych prowadzonego bez użycia narzędzi automatyzacji.”

Następnie - pamiętaj o zapewnieniu oddzielnego przechowywania danych osobowych, których przetwarzanie odbywa się w do różnych celów. Podczas przechowywania media materialne operator musi podjąć środki bezpieczeństwa, aby uniemożliwić nieuprawniony dostęp do nich i zapewnić ich bezpieczeństwo. Wykaz środków zapewniających takie warunki, tryb ich podejmowania, a także wykaz osób odpowiedzialnych za wdrożenie tych środków ustala również pracodawca.

Przekazywanie danych osobowych

W trakcie pracy często pojawia się konieczność przekazania danych osobowych pracownika zarówno wewnątrz organizacji, jak i podmiotom trzecim. Oznacza to, że pracodawca musi prowadzić ich ścisłą dokumentację. Zaleca się korzystanie z dzienników pokładowych, które wskazują:

• daty wystawienia i zwrotu dokumentu,
• nazwa dokumentu,
• okres użytkowania,
• cel emisji,
• Pełne imię i nazwisko oraz stanowisko osoby, która otrzymała dokument zawierający dane osobowe pracownika.

Dostęp do danych osobowych pracowników powinny mieć wyłącznie osoby specjalnie upoważnione. Jednocześnie mają prawo otrzymać wyłącznie te dane, które są niezbędne do realizacji określonych funkcji.

Sytuacja: jeżeli dokumenty zawierające dane osobowe są zebrane na więcej niż jednym arkuszu, przy ich zwracaniu osoba, która odebrała dokumenty, musi być obecna osobiście w celu sprawdzenia dostępności wszystkich dostępnych dokumentów zgodnie z inwentarzem. Jednocześnie pracownik otrzymujący do użytku tymczasowego akta osobowe innego pracownika nie ma prawa dokonywania jakichkolwiek notatek, sprostowań, dokonywania nowych wpisów, usuwania dokumentów z akt osobowych lub umieszczania w nich nowych.

Pracodawca powinien prowadzić rejestr udostępniania danych osobowych pracowników organizacjom i organizacjom agencje rządowe, w którym należy rejestrować wpływające żądania, odnotowywać informację o osobie wysyłającej żądanie, dacie przekazania danych osobowych lub zawiadomieniu o odmowie ich podania oraz odnotować, jakie informacje zostały przekazane.

Aby zwiększyć poziom ochrony danych osobowych, możesz wejść do systemu księgowego obowiązkowy regularnie sprawdza dostępność dokumentów i innych nośników zawierających dane osobowe pracowników, a także ustala procedury pracy z nimi. W tym zakresie konieczne jest opracowanie i prowadzenie dziennika kontroli dostępności dokumentów zawierających dane osobowe pracownika.

Wysokość odpowiedzialności za naruszenia

Zgodnie z art. 13.11 Naruszenie Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej ustanowione przez prawo procedura gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania informacji o obywatelach (danych osobowych) wiąże się z upomnieniem lub nałożeniem kara administracyjna:

• dla obywateli - od 300 do 500 rubli;
• dla urzędników - od 500 do 1000 rubli;
• NA osoby prawne- od 5000 do 10 000 rubli.

Oprócz organizacji za naruszenia odpowiada jej szef jako urzędnik.

Zgodnie z art. 13.14 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej ujawnienie danych osobowych (z wyjątkiem przypadków, gdy takie ujawnienie pociąga za sobą odpowiedzialność karną) przez osobę, która uzyskała do nich dostęp w związku z wykonywaniem obowiązków służbowych lub obowiązki zawodowe, pociąga za sobą nałożenie administracyjnej kary pieniężnej:

• dla obywateli - od 500 do 1000 rubli;
• dla urzędników - od 4000 do 5000 rubli.

Jeżeli zostanie ustalone, że ujawnienie danych osobowych nastąpiło z winy pracownika odpowiedzialnego za przechowywanie, przetwarzanie i wykorzystywanie danych osobowych innych pracowników, może on zostać ukarany karą administracyjną w postaci kary pieniężnej.

Dane osobowe oznaczają informacje chronione prawem federalnym. Podstawą ścigania jest także bezprawne udostępnienie danych osobowych przez osobę, do której obowiązków należy przestrzeganie zasad przechowywania, przetwarzania i wykorzystywania takich informacji. odpowiedzialność dyscyplinarna(Artykuł 90 Kodeksu pracy Federacji Rosyjskiej).

Art. 137 Kodeksu karnego za nielegalne zbieranie lub rozpowszechnianie informacji dotyczących życia prywatnego osoby, stanowiących jej tajemnicę osobistą lub rodzinną, bez jej zgody, lub rozpowszechnianie tych informacji w wystąpienia publiczne, publicznie wyświetlane dzieła lub media zapewniają:

• lub grzywna w wysokości do 200 tysięcy rubli,
• albo grzywnę w wysokości wynagrodzenia lub innego dochodu skazanego na okres do 18 miesięcy,
• lub pracę obowiązkową przez okres od 120 do 180 godzin,
• lub prace poprawcze na okres do jednego roku,
• lub aresztowanie na okres do czterech miesięcy.

I część 2 wspomniany artykuł przewiduje, że działa tak samo popełnione przez osobę wykorzystywanie swojego oficjalnego stanowiska podlega karze

• lub grzywna w wysokości od 100 tysięcy do 300 tysięcy rubli,
• albo grzywnę w wysokości wynagrodzenia lub innego dochodu skazanego na okres od roku do dwóch lat,
• lub pozbawienie prawa do zajmowania pewne stanowiska lub studiuj pewne działania na okres od dwóch do pięciu lat,

lub aresztowanie na okres od czterech do sześciu miesięcy.

1. Postanowienia ogólne

1.1. Zamiar niniejszego rozporządzenia jest ochrona danych osobowych pracowników przed nieuprawnionym dostępem, niewłaściwym wykorzystaniem lub utratą.

1.2. Niniejszy Regulamin został opracowany na podstawie artykułów Konstytucji Federacji Rosyjskiej, Kodeksu pracy Federacji Rosyjskiej, Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej, Kodeksu cywilnego Federacji Rosyjskiej, Kodeksu karnego Federacji Rosyjskiej Federacja, a także ustawa federalna „O informacji, informatyzacji i ochronie informacji”

1.3. Dane osobowe są klasyfikowane jako informacje poufne. Zachowanie poufności danych osobowych zostaje zniesione w przypadku depersonalizacji lub po upływie 75 lat okresu przechowywania, chyba że przepisy prawa stanowią inaczej.

1.4. Niniejszy Regulamin zostaje zatwierdzony i wprowadzony w życie w drodze zarządzenia dyrektor generalny i jest obowiązkowe dla wszystkich pracowników mających dostęp do danych osobowych pracowników.

2. Pojęcie i skład danych osobowych

2.1. Dane osobowe pracowników – informacje, konieczne dla pracodawcy w związku ze stosunkami pracy i dotyczącymi konkretnego pracownika. Informacje o pracownikach oznaczają informacje o faktach, zdarzeniach i okolicznościach z życia pracownika, które pozwalają na identyfikację jego tożsamości.

2.2. Dane osobowe pracownika obejmują:

Dane osobowe i biograficzne;

Edukacja;

Informacje o pracy i ogólnym doświadczeniu;

Informacje o składzie rodziny;

Dane paszportowe;

Informacje o rejestracji wojskowej;

Informacja o wynagrodzeniu pracownika;

Informacje o świadczeniach socjalnych;

Specjalność,

zajmowane stanowisko;

Posiadanie przeszłości kryminalnej;

Adres zamieszkania;

telefon domowy;

Miejsce pracy lub nauki członków rodziny i krewnych;

Charakter relacji w rodzinie;

Skład zadeklarowanych informacji o obecności aktywów materialnych;

Oryginały i kopie poleceń dla personelu;

Akta osobowe i akta pracy pracowników;

Podstawy poleceń dotyczące personelu;

Kopie raportów przesyłane do organów statystycznych.

2.3. Dokumenty te mają charakter poufny, jednakże ze względu na ich masowy charakter oraz jedno miejsce przetwarzania i przechowywania, nie nakłada się na nie odpowiednich ograniczeń.

3. Przetwarzanie danych osobowych

3.1. Przetwarzanie danych osobowych pracownika oznacza otrzymanie, przechowywanie, łączenie, przekazywanie lub jakiekolwiek inne wykorzystanie danych osobowych pracownika.

3.2. W celu zapewnienia praw i wolności człowieka i obywatela pracodawca i jego przedstawiciele, przetwarzając dane osobowe pracownika, mają obowiązek przestrzegać następujących ogólnych wymogów:

3.2.1. Przetwarzanie danych osobowych pracownika może odbywać się wyłącznie w celu zapewnienia zgodności z przepisami prawa i innymi przepisami, pomocy pracownikom w zatrudnieniu, szkoleniu i awansie, zapewnienia bezpieczeństwa osobistego pracowników, monitorowania ilości i jakości wykonywanej pracy oraz zapewnienia bezpieczeństwo mienia.

3.2.2. Ustalając zakres i treść przetwarzanych danych osobowych pracownika, pracodawca musi kierować się Konstytucją Federacji Rosyjskiej, Kodeksem pracy i innymi przepisami federalnymi.

3.2.3. Pozyskanie danych osobowych może nastąpić albo poprzez ich podanie przez samego pracownika, albo poprzez otrzymanie ich z innych źródeł.

3.2.4. Dane osobowe należy pozyskać od niego samego. Jeżeli dane osobowe pracownika można pozyskać jedynie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę. Pracodawca ma obowiązek poinformować pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze danych osobowych, które mają zostać pozyskane oraz o konsekwencjach odmowy wyrażenia przez pracownika pisemnej zgody na ich otrzymanie.

3.2.5. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika dotyczących jego przekonań politycznych, religijnych i innych oraz życia prywatnego. W sprawach bezpośrednio związanych ze sprawami stosunki pracy dane dotyczące życia prywatnego pracownika (informacje o aktywności życiowej z zakresu relacji rodzinnych, codziennych, osobistych) pracodawca może pozyskiwać i przetwarzać wyłącznie za jego pisemną zgodą.

3.2.6. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika dotyczących jego członkostwa w stowarzyszenia publiczne lub jego działalność związkową, z wyjątkiem przypadków przewidzianych przez prawo federalne.

3.3. Pracownicy mogą mieć dostęp do przetwarzania, przekazywania i przechowywania danych osobowych pracowników:

Księgowość;

Personel zarządzający personelem;

Pracownicy działu komputerowego.

3.4. Wykorzystywanie danych osobowych możliwe jest wyłącznie zgodnie z celami, które przesądziły o ich otrzymaniu.

3.4.1. Dane osobowe nie mogą być wykorzystywane w celu wyrządzania obywatelom szkody majątkowej i moralnej ani utrudniania korzystania z praw i wolności obywateli Federacji Rosyjskiej. Ograniczanie praw obywateli Federacji Rosyjskiej na podstawie wykorzystania informacji o ich pochodzeniu społecznym, rasie, narodowości, języku, wyznaniu i przynależności partyjnej jest zabronione i karalne zgodnie z prawem.

3.5. Przekazanie danych osobowych pracownika możliwe jest wyłącznie za zgodą pracownika lub w przypadkach wyraźnie przewidzianych przepisami prawa.

3.5.1. Przekazując dane osobowe pracownika, pracodawca musi spełnić następujące wymagania:

Nie udostępniaj danych osobowych pracownika osobom trzecim bez pisemnej zgody pracownika, z wyjątkiem przypadków, gdy jest to konieczne w celu zapobieżenia zagrożeniu życia i zdrowia pracownika, a także przypadków przewidzianych przez prawo federalne;

Nie ujawniaj danych osobowych pracowników celach komercyjnych bez jego pisemnej zgody;

Przestrzec osoby otrzymujące dane osobowe pracownika, że ​​dane te mogą zostać wykorzystane wyłącznie w celu, w jakim zostały przekazane, i zażądać od tych osób potwierdzenia, że ​​zasada ta została spełniona. Osoby otrzymujące dane osobowe pracownika zobowiązane są do zachowania tajemnicy (poufność). Przepis ten nie ma zastosowania do wymiany danych osobowych pracowników w sposób określony przez prawo federalne;

Zezwalaj na dostęp do danych osobowych pracowników jedynie specjalnie upoważnionym osobom, według określonego porządku według organizacji, przy czym osoby te powinny mieć prawo otrzymać jedynie te dane osobowe pracownika, które są niezbędne do wykonywania określonych funkcji;

Nie żądaj informacji o stanie zdrowia pracownika, z wyjątkiem informacji, które dotyczą kwestii zdolności pracownika do pełnienia funkcji służbowej;

Przekazuj dane osobowe pracownika przedstawicielom pracowników w sposób określony w Kodeksie pracy i ograniczaj te informacje wyłącznie do tych danych osobowych pracowników, które są niezbędne do wykonywania przez tych przedstawicieli swoich funkcji.

3.5.2. Przekazanie danych osobowych przez posiadacza lub jego przedstawicieli konsumentowi zewnętrznemu może być dozwolone w minimalnych ilościach i wyłącznie w celu wykonania zadań związanych z obiektywny powód zbieranie tych danych.

3.5.3. Przekazując dane osobowe pracownika konsumentom (w tym w celach komercyjnych) poza organizację, pracodawcy nie wolno udostępniać tych danych osobie trzeciej bez pisemnej zgody pracownika, z wyjątkiem przypadków, gdy jest to niezbędne dla zapobiegnięcia zagrożeniu dla życie i zdrowie pracownika lub w przypadkach przewidzianych przez prawo federalne.

3.6. Wszelkie środki poufności przy gromadzeniu, przetwarzaniu i przechowywaniu danych osobowych pracowników mają zastosowanie zarówno do nośników papierowych, jak i elektronicznych (zautomatyzowanych).

3.7. Niedozwolone jest udzielanie odpowiedzi na pytania związane z przekazaniem danych osobowych drogą telefoniczną lub faksową.

3.8. Dane osobowe muszą być przechowywane w sposób uniemożliwiający ich utratę lub niewłaściwe wykorzystanie.

3.9. Pracodawca przy podejmowaniu decyzji mających wpływ na interes pracownika nie ma prawa powoływać się na dane osobowe pracownika, które zostały pozyskane wyłącznie w wyniku ich zautomatyzowanego przetwarzania lub odbiór elektroniczny. Pracodawca bierze pod uwagę cechy osobiste pracownika, jego sumienną i efektywną pracę.

4. Dostęp do danych osobowych

4.1. Dostęp wewnętrzny (dostęp wewnątrz organizacji).

4.1.1. Prawo dostępu do danych osobowych pracowników mają:

Dyrektor Generalny organizacji;

Szefowie pionów strukturalnych w obszarze działalności (dostęp do danych osobowych tylko pracowników swojego działu);

Podczas przenoszenia z jednego jednostka strukturalna w innym dostęp do danych osobowych pracownika może mieć kierownik nowego działu;

Sam pracownik, nośnik danych.

Inni pracownicy organizacji w wykonywaniu swoich obowiązków służbowych.

4.1.2. Listę osób mających dostęp do danych osobowych pracowników ustala zarządzeniem dyrektora generalnego organizacji.

4.2. Dostęp zewnętrzny.

4.2.1. Do masowych odbiorców danych osobowych poza organizacją zaliczają się struktury funkcjonalne rządowe i pozarządowe:

inspektoraty podatkowe;

Organy ścigania;

Władze statystyczne;

Agencje ubezpieczeniowe;

Wojskowe urzędy rejestracyjne i werbunkowe;

Organy ubezpieczeń społecznych;

Fundusze emerytalne;

Podziały władze miejskie kierownictwo;

4.2.2. Organy nadzorcze i kontrolne mają dostęp do informacji wyłącznie w zakresie swoich kompetencji.

4.2.3. Organizacje, do których pracownik może dokonywać przelewów gotówka (firmy ubezpieczeniowe, niepaństwowy fundusze emerytalne, organizacje charytatywne, instytucje kredytowe), może uzyskać dostęp do danych osobowych pracownika wyłącznie za jego pisemną zgodą.

4.2.4. Inne organizacje.

Informacje o pracowniku pracującym lub już zwolnionym można przekazać innej organizacji wyłącznie na pisemny wniosek na papierze firmowym organizacji, z załączoną kopią poświadczonego notarialnie wniosku pracownika.

Dane osobowe pracownika mogą być udostępniane bliskim lub członkom jego rodziny wyłącznie za pisemną zgodą samego pracownika.

W przypadku rozwodu była żona(małżonek) ma prawo zwrócić się do organizacji z pisemnym wnioskiem o wysokość wynagrodzenia pracownika bez jego zgody. (Kodeks karny Federacji Rosyjskiej).

5. Ochrona danych osobowych

5.1. Przez zagrożenie lub niebezpieczeństwo utraty danych osobowych rozumie się pojedynczy lub złożony, rzeczywisty lub potencjalny, aktywny lub bierny przejaw złośliwych zdolności podmiotów zewnętrznych lub źródła wewnętrzne zagrożeń, które powodują niekorzystne zdarzenia i mają destabilizujący wpływ na chronione informacje.

5.2. Ryzyko zagrożenia dla każdego zasoby informacyjne tworzyć klęski żywiołowe, ekstremalne sytuacje, działalność terrorystyczną, awarie środków technicznych i linii komunikacyjnych, inne obiektywne okoliczności, a także osoby zainteresowane i niezainteresowane wystąpieniem zagrożenia.

5.3. Ochrona danych osobowych jest zjawiskiem ściśle regulowanym i dynamicznym proces, zapobieganie naruszeniom dostępności, integralności, wiarygodności i poufności danych osobowych, a docelowo zapewnienie odpowiednio niezawodnego bezpieczeństwa informacji w procesie zarządzania i działalności produkcyjnej firmy.

5.4. Ochronę danych osobowych pracownika przed bezprawnym wykorzystaniem lub utratą musi zapewnić pracodawca na jego koszt w sposób określony przez prawo federalne.

5.5. „Ochrona wewnętrzna”.

5.5.1. Głównym winowajcą nieuprawnionego dostępu do danych osobowych są z reguły osoby pracujące z dokumentami i bazami danych. Regulacja dostępu personelu do informacje poufne, dokumenty i bazy danych należą do głównych obszarów ochrona organizacyjna informacji i ma na celu rozgraniczenie uprawnień pomiędzy menadżerami i specjalistami organizacji.

5.5.2. Aby zapewnić ochrona wewnętrzna danych osobowych pracowników, należy przestrzegać szeregu środków:

Ograniczanie i regulacja składu pracowników, obowiązki funkcjonalne które wymagają wiedzy poufnej;

Ścisła, selektywna i rozsądna dystrybucja dokumentów i informacji pomiędzy pracownikami;

Racjonalne rozmieszczenie stanowisk pracy pracowników, które wykluczałoby niekontrolowane wykorzystanie informacji objętych ochroną;

Znajomość przez pracownika wymagań dokumentów regulacyjnych i metodologicznych dotyczących ochrony informacji i zachowania tajemnicy;

Dostępność niezbędne warunki w pomieszczeniu do pracy z poufnymi dokumentami i bazami danych;

Ustalenie i uregulowanie składu pracowników mających prawo dostępu (wejścia) do pomieszczeń, w których znajduje się sprzęt komputerowy;

Organizacja procedur niszczenia informacji;

Terminowe wykrywanie naruszeń wymagań systemu zezwoleń na dostęp przez pracowników działu;

Praca edukacyjna i wyjaśniająca z pracownikami działu, aby zapobiec utracie cennych informacji podczas pracy z dokumentami poufnymi;

Niedopuszczalne jest udostępnianie akt osobowych pracowników do stanowisk pracy menedżerów. Akta osobowe mogą być wydawane zakładom pracy wyłącznie dyrektorowi generalnemu, pracownikom działu kadr oraz wyjątkowe przypadki, za pisemną zgodą Dyrektora Generalnego, kierownikowi jednostki strukturalnej. (na przykład podczas przygotowywania materiałów do certyfikacji pracowników).

5.5.3. Ochrona danych osobowych pracowników znajdujących się na nośnikach elektronicznych.

Wszystkie foldery zawierające dane osobowe pracownika muszą być chronione hasłem, które jest przekazywane kierownikowi służby zarządzania personelem i kierownikowi służby informatycznej

5.6. „Ochrona zewnętrzna”.

5.6.1. Aby chronić informacje poufne, celowo stwarza się niekorzystne warunki i przeszkody nie do pokonania dla osoby próbującej dopuścić się nieuprawnionego dostępu i zdobycia informacji. Celem i skutkiem nieuprawnionego dostępu do zasobów informacyjnych może być nie tylko ich pozyskanie cenne informacje i ich wykorzystanie, ale także ich modyfikację, zniszczenie, wprowadzenie wirusa, podmianę, fałszowanie treści szczegółów dokumentu itp.

5.6.2. Osoba z zewnątrz oznacza każdą osobę niezwiązaną bezpośrednio z działalnością firmy, osoby odwiedzające lub pracowników innych struktur organizacyjnych. Osoby z zewnątrz nie powinny znać rozkładu funkcji, procesów pracy, technologii kompilowania, przetwarzania, utrzymywania i przechowywania dokumentów, plików i materiałów roboczych w dziale personalnym.

5.6.3. Aby zapewnić zewnętrzną ochronę danych osobowych pracowników, należy przestrzegać szeregu środków:

Procedura przyjmowania, rejestrowania i monitorowania działań gości;

System dostępu organizacji;

Rachunkowość i procedura wydawania certyfikatów;

Techniczne środki bezpieczeństwa, alarm;

Procedura ochrony terytorium, budynków, pomieszczeń, pojazdów;

Wymagania dotyczące ochrony informacji podczas przesłuchania i przesłuchania.

5.7. Wszystkie osoby biorące udział w przyjmowaniu, przetwarzaniu i ochronie danych osobowych zobowiązane są do podpisania zobowiązania o nieujawnianiu danych osobowych pracowników.

5.8. Tam, gdzie to możliwe, dane osobowe są anonimizowane.

5.9. Oprócz środków ochrony danych osobowych, ustanowione przez prawo, pracodawcy, pracownicy i ich przedstawiciele mogą opracować wspólne środki ochrony danych osobowych pracowników.

6. Prawa i obowiązki pracownika

6.1. Zabezpieczenie praw pracownika regulujących ochronę jego danych osobowych zapewnia bezpieczeństwo pełnych i dokładnych informacji o nim.

6.2. Pracownicy i ich przedstawiciele muszą zostać zaznajomieni za pokwitowaniem z dokumentami organizacji ustalającymi tryb przetwarzania danych osobowych pracowników oraz ich prawa i obowiązki w tym zakresie.

6.3. W celu ochrony danych osobowych przechowywanych przez pracodawcę pracownik ma prawo:

Żądaj wykluczenia lub poprawienia nieprawidłowych lub niekompletnych danych osobowych.

Do swobodnego i bezpłatnego dostępu do swoich danych osobowych, w tym prawa do otrzymania kopii wszelkich zapisów zawierających dane osobowe;

Dane osobowe mające charakter wartościujący należy uzupełnić oświadczeniem wyrażającym własny punkt widzenia;

Zidentyfikuj swoich przedstawicieli, aby chronić Twoje dane osobowe;

Aby zachować i chronić tajemnice osobiste i rodzinne.

6.4. Pracownik jest zobowiązany:

Przekazanie pracodawcy lub jego przedstawicielowi zestawu wiarygodnych, udokumentowanych danych osobowych, których skład określa Kodeks pracy Federacji Rosyjskiej.

Niezwłocznie informuj pracodawcę o zmianach w Twoich danych osobowych

6,5. Pracownicy powiadamiają pracodawcę o zmianach nazwiska, imienia, patronimii, daty urodzenia, co jest odzwierciedlone w książka pracy na podstawie przedłożonych dokumentów. W razie potrzeby zmieniane są informacje o wykształceniu, zawodzie, specjalności, przypisaniu nowej kategorii itp.

6.6. Aby chronić prywatność, tajemnice osobiste i rodzinne, pracownicy nie powinni zrzekać się prawa do przetwarzania danych osobowych wyłącznie za ich zgodą, gdyż może to skutkować szkodami moralnymi i materialnymi.

7. Odpowiedzialność za ujawnienie informacji poufnych,związane z danymi osobowymi

7.1. Odpowiedzialność osobista jest jednym z głównych wymogów organizacji funkcjonowania systemu ochrony danych osobowych i warunek wstępny zapewnienie efektywności tego systemu.

7.2. Legalne i osoby zgodnie ze swoimi uprawnieniami, posiadający informacje o obywatelach, otrzymujący je i wykorzystujący, ponoszą odpowiedzialność zgodnie z ustawodawstwem Federacji Rosyjskiej za naruszenie reżimu ochrony, przetwarzania i procedury wykorzystywania tych informacji.

7.3. Odpowiedzialność ponosi kierownik, który umożliwia pracownikowi dostęp do poufnego dokumentu osobista odpowiedzialność za to pozwolenie.

7.4. Każdy pracownik organizacji, który otrzymuje za pracę poufny dokument, ponosi wyłączną odpowiedzialność za bezpieczeństwo mediów i poufność informacji.

7,5. Osoby winne naruszenia zasad dotyczących przyjmowania, przetwarzania i ochrony danych osobowych pracowników ponoszą odpowiedzialność dyscyplinarną, administracyjną, cywilną lub karną zgodnie z przepisami federalnymi.

7.5.1. Za niewykonanie lub nienależyte wykonanie przez pracownika z jego winy powierzonych mu obowiązków w zakresie przestrzegania ustalonej procedury pracy z informacjami poufnymi, pracodawca ma prawo zastosować sankcje dyscyplinarne przewidziane w Kodeksie pracy.

7.5.2. Urzędnicy, do których obowiązków należy przechowywanie danych osobowych pracownika, są obowiązani zapewnić każdemu możliwość zapoznania się z dokumentami i materiałami, które bezpośrednio wpływają na jego prawa i wolności, chyba że ustawa stanowi inaczej. bezprawnej odmowy udostępnienia dokumentów zebranych zgodnie z ustalonym trybem, lub spóźnione świadczenie takich dokumentów lub innych informacji w przypadkach, gdy przewidziane przez prawo lub podanie niepełnych lub celowo fałszywych informacji – pociąga za sobą nałożenie na urzędników kary administracyjnej w wysokości określonej w Kodeksie wykroczeń administracyjnych.

7.5.3. Według Kodeks cywilny osobom, które uzyskały informacje w sposób nielegalny oficjalna tajemnica, są zobowiązani do naprawienia wyrządzonych strat i ten sam obowiązek ciąży na pracownikach.

7.5.4. Odpowiedzialność karna za naruszenie prywatności (w tym nielegalne zbieranie lub rozpowszechnianie informacji o życiu prywatnym osoby, stanowiących jej tajemnicę osobistą lub rodzinną, bez jej zgody), nieautoryzowany dostęp do prawnie chronionego informacje o komputerze, bezprawną odmowę w udostępnianiu dokumentów i informacji zebranych w przewidziany sposób (jeżeli czyny te naruszyły prawa i uzasadnione interesy obywateli), popełnione przez osobę wykorzystującą swoje stanowisko służbowe, podlega karze grzywny albo pozbawienia prawa do zajmowania określonych stanowisk lub prowadzenia określonej działalności lub aresztowania zgodnie z Kodeksem karnym Federacji Rosyjskiej.

7.6. Nielegalność działalności organów władza państwowa oraz organizacje zajmujące się gromadzeniem i wykorzystywaniem danych osobowych można założyć w sądzie.

Skompilowane przez:

Menedżer HR E.N. Pobegailo

ZGODA

Doradca prawny

S.G.Dmitrash