Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать больше
Защита персональных данных работника компании является частью общих мер безопасности. Репутационные издержки, убытки и банкротство могут наступить не только от утечек корпоративной тайны, но и при разглашении персональных данных отдельных сотрудников. Причем чем выше занимаемая должность, тем выше риски. Ст. №152-ФЗ «О персональных данных» утверждает, что меры по защите персональных данных принимаются юридическим лицом (компанией) самостоятельно в рамках закона. Рассмотрим, как это организовать современными методами с минимальными затратами.
Что такое персональные данные?
Это любая информация, относящаяся прямо или косвенно определенному физическому лицу (субъекту персональных данных).
Основные документы, на которые нужно ориентироваться при обработке персональных данных, – это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ. В рамках этих статей и осуществляется защита персональных данных работника.
При регулировании трудовых отношений:
- компания вправе сама определять перечень сведений, относящийся к персональным данным в соответствии с законом;
- реализация мер по защите данных работника – дело оператора персональных данных (т.е., компании/работодателя);
- согласие на обработку данных подписывается всеми участниками трудового договора;
- получение персональной информации, не указанной в договоре с согласием на обработку, не допускается;
- следить за соблюдением мер по защите данных обязан Роскомнадзор;
- в случае причинения материального или личного ущерба, нанесенного распространением закрытых данных, дело рассматривается в судебном порядке (ст. 137 УК РФ).
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые требуются для осуществления должностных обязанностей. К ним относятся:
-
ФИО,
-
сведения о предыдущей работе,
-
документы, которые необходимы для устройства на работу (паспорт, трудовая книжка, номера ИНН, СНИЛС и т. д).
Как организовать защиту?
Поскольку большая часть данных хранится в электронном виде, меры по их защите лежат в области информационных технологий. Однако не следует исключать и человеческий фактор – разглашение сведений зачастую бывает следствием халатности или нечистоплотности оператора персональных данных.
Для контроля и отслеживания действий работников, имеющих доступ к данным, разработано много инструментов, одним из них является система DLP. Особенность DLP-систем в том, что они могут обозначать актуальные риски, анализируя поведения людей на работе. Так, обнаружив нетипичное поведение работника, система автоматически информирует службу безопасности компании, что в свою очередь позволяет своевременно реагировать на угрозы, работать на опережение.
Функционирование DLP-систем автоматизировано и не требует значительного увеличения штата. Благодаря этому они стали доступными даже для средних и мелких компаний. С каждым годом их доступность возрастает. Организация защиты с помощью DLP достаточно проста: персональные данные переносятся на защищенный корпоративный сервер, а все обращения к ним, например, в отделе кадров, отслеживаются. Любые подозрительные действия документируются. Если DLP-система уже имеется на предприятии, то ее настраивают с учетом рекомендаций по продуктам компании «Ростелеком-Солар».
Действия по защите со стороны персонала
Важно учесть, что защита персональных данных – работа обоюдная. Сотрудник должен понимать серьезность подписанного им соглашения о неразглашении (NDA): никакая служба безопасности не в состоянии сохранить в секрете то, о чем он рассказывает сам. Несоблюдение подписанного NDA рассматривается в судебном порядке.
Работодатели вправе сами устанавливать перечень правил защиты данных. Так, довольно часто персонал просят отказаться в рабочее время от социальных сетей и использования рабочих устройств для личных целей. Возможности DLP-систем позволяют проконтролировать коммуникацию персонала, установить попытки мошенничества.
Выводы
Защита персональных данных работника – обязанность работодателя, регламентируемая законом. По статистике более 70% мелких и средних компаний закрываются после возникновения утечек информации по вине сотрудников. Эти риски не идут ни в какое сравнение с потерями данных по причине технической неисправности носителей. То есть, угрозу представляет не техническая неисправность, а действия человека, что легко предотвращается с помощью систем DLP. У этого решения практически нет никаких минусов. Стоимость этого ПО быстро окупится за счет отсутствия информационных утечек.
