Защита персональных данных

Защита персональных данных работника компании является частью общих мер безопасности. Репутационные издержки, убытки и банкротство могут наступить не только от утечек корпоративной тайны, но и при разглашении персональных данных отдельных сотрудников. Причем чем выше занимаемая должность, тем выше риски. Ст. №152-ФЗ «О персональных данных» утверждает, что меры по защите персональных данных принимаются юридическим лицом (компанией) самостоятельно в рамках закона. Рассмотрим, как это организовать современными методами с минимальными затратами.

Что такое персональные данные?

Это любая информация, относящаяся прямо или косвенно определенному физическому лицу (субъекту персональных данных).

Основные документы, на которые нужно ориентироваться при обработке персональных данных, – это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ. В рамках этих статей и осуществляется защита персональных данных работника.

При регулировании трудовых отношений:

1. компания вправе сама определять перечень сведений, относящийся к персональным данным в соответствии с законом;
2. реализация мер по защите данных работника – дело оператора персональных данных (т.е., компании/работодателя);
3. согласие на обработку данных подписывается всеми участниками трудового договора;
4. получение персональной информации, не указанной в договоре с согласием на обработку, не допускается;
5. следить за соблюдением мер по защите данных обязан Роскомнадзор;
6. в случае причинения материального или личного ущерба, нанесенного распространением закрытых данных, дело рассматривается в судебном порядке (ст. 137 УК РФ).

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые требуются для осуществления должностных обязанностей. К ним относятся:

• ФИО,

• сведения о предыдущей работе,

• документы, которые необходимы для устройства на работу (паспорт, трудовая книжка, номера ИНН, СНИЛС и т. д).

Как организовать защиту?

Поскольку большая часть данных хранится в электронном виде, меры по их защите лежат в области информационных технологий. Однако не следует исключать и человеческий фактор – разглашение сведений зачастую бывает следствием халатности или нечистоплотности оператора персональных данных.

Для контроля и отслеживания действий работников, имеющих доступ к данным, разработано много инструментов, одним из них является система DLP. Особенность DLP-систем в том, что они могут обозначать актуальные риски, анализируя поведения людей на работе. Так, обнаружив нетипичное поведение работника, система автоматически информирует службу безопасности компании, что в свою очередь позволяет своевременно реагировать на угрозы, работать на опережение.

Функционирование DLP-систем автоматизировано и не требует значительного увеличения штата. Благодаря этому они стали доступными даже для средних и мелких компаний. С каждым годом их доступность возрастает. Организация защиты с помощью DLP достаточно проста: персональные данные переносятся на защищенный корпоративный сервер, а все обращения к ним, например, в отделе кадров, отслеживаются. Любые подозрительные действия документируются. Если DLP-система уже имеется на предприятии, то ее настраивают с учетом рекомендаций по продуктам компании «Ростелеком-Солар».

Действия по защите со стороны персонала

Важно учесть, что защита персональных данных – работа обоюдная. Сотрудник должен понимать серьезность подписанного им соглашения о неразглашении (NDA): никакая служба безопасности не в состоянии сохранить в секрете то, о чем он рассказывает сам. Несоблюдение подписанного NDA рассматривается в судебном порядке.

Работодатели вправе сами устанавливать перечень правил защиты данных. Так, довольно часто персонал просят отказаться в рабочее время от социальных сетей и использования рабочих устройств для личных целей. Возможности DLP-систем позволяют проконтролировать коммуникацию персонала, установить попытки мошенничества.

Выводы