У любой организации, ведущей обработку перс.данных есть определенные обязанности. Ныне действующее законодательство о персональных данных налагает соответствующие обязательства на любое предприятие или организацию, занимающуюся обработкой персональных данных.
Каждая организация-работодатель выступает так называемым оператором перс. данных, потому как она обрабатывает информацию о сотрудниках для реализации трудовых прав, удержания налогов с зарплаты сотрудников, обработки резюме кандидатов на имеющиеся вакансии и др.
Законодательством установлены следующие обязанности для организаций-работодателей: Во-первых, это проведение орг. -тех. процедур, которые в совокупности образуют систему защиты персональных данных на предприятии.
Во-вторых, это получение у работников согласия на обработку их персональных данных.
И в-третьих, это отправка в в Роскомнадзор соответствующего уведомления об обработке персональных данных.
Любая организация-работодатель обязана обеспечивать необходимую конфиденциальность и безопасность перс.данных.
Подавляющее большинство работодателей ошибочно полагают, что первым шагом, предваряющим весь объем процедур, по организации защиты перс.данных, является подача в Роскомнадзор уведомления об обработке перс.данных.
Между тем, этот подход ошибочен. И вот почему. В уведомлении об обработке перс. данных предприятие обязано указать виды перс.данных, которые обрабатываются, указать носителей перс.даных, и кроме того, подробно изложить то, каким образом на предприятии функционируют, так называемые информационные системы обработки персональных данных.
Информационные системы обработки персональных данных, это не что иное как комплекс имеющихся у организации перс.данных, информ. технологий, а также тех.средств, на основе которых происходит обработка перс.данных в автоматическом либо ручном режиме.
Все базы данных, в которых так или иначе хранятся перс. данные, например, тот же кадровый учет работников предприятия образуют информационные системы обработки персональных данных.
Учитывая изложенное выше, первоочередной задачей предприятия выступает классификация информационных систем персональных данных.
Давайте посмотрим, как проводится классификация информационных систем персональных данных.
Начинается она с оформления распоряжения по предприятию о создании комиссии по классификации. В функции комиссии входит непосредственное осуществление классификации и подписание соответствующего Акта.
Классы информ. систем обозначаются исходя из состава содержащихся перс.данных, и, кроме того, согласно разработанной на предприятии модели угроз безопасности перс.данных.
После оценки угроз безопасности формируются объективные условия по тех. обеспечению информ. безопасности.
Помимо этого, на предприятии должен быть издан приказ о назначении ответственных лиц за обеспечение безопасности перс.данных, и документ, в котором прописана непосредственно процедура по обработке перс.данных. Название последнего локального акта может варьироваться, и представлять собой не один документ, а комплект из нескольких документов, которые определяют орг. меры по обеспечению безопасности перс.данных в компании.
Важно понимать, что любая деятельность работников организации с перс.данными должна быть строго регламентирована. Например, отдел кадров должен иметь специальную инструкцию по хранению личных дел сотрудников, а для работников call-центра разрабатываются специальные соглашения о неразглашении какой-либо конфиденциальной информации и т. п. Подобные инструкции и регламенты могут иметь форму как самостоятельных документов, так и пунктов (или разделов), включенных в иные документы (например, в должностные инструкции). Главная цель – установить права, компетенцию и обязанности работников, получающих доступ к перс.данным.
На этом перечень внутренних документов, необходимых компании, ведущей обработку перс. данных не исчерпывается. Существуют, например, реестры учёта носителей перс.данных, реестры учета обращений носителей перс.данных.
В заключении вкратце расскажу о том, как строится на предприятии система защиты персональных данных.
Существуют три варианта защиты:
1. применение при обработке перс.данных средств автоматизации (компьютеров, программных продуктов)
2. неавтоматическая обработка перс.данных с использованием материальных носителей (как правило, бумажных)
3. смешанная обработка перс.данных, когда одна часть перс.данных обрабатывается автоматически, а другая часть – только на бумаге.
Здесь стоит отметить, что в ситуации, когда компания использует только неавтоматическую обработку, система защиты персональных данных перс.данных упрощается, поскольку вам достаточно разработать орг. меры, не прибегая к техническим. Например, ограничить доступ в помещение, где хранятся бумажные носители, содержащие перс.данные, или использовать сейфы.
Надеюсь, моя статья пригодится вам в практической деятельности.
Статью подготовил для вас юрист Дмитрий Иванов предоставляющий в городе Каменске-Уральском Юридические услуги для вас
Также, если вам требуется юридическая консультация , то я всегда готов предложить свои услуги, как бизнесу, так и простым гражданам. Сложность вашего вопроса или проблемы значения не имеет. Я профессионал. Обращайтесь – помогу.
По вопросам оказания юридической помощи вы можете связаться со мной через контактную форму на моем сайте по адресу:
https://uralpral.ru/kontakty