Сведения о сотрудниках персонального характера в соответствии с 14 главой ТК РФ (ред. 22.11.21, 377-ФЗ) должны находиться в безопасности. К особо ценной информации относятся паспортные данные, номера СНИЛС, сведения об образовании, семейное положение, трудовой стаж. Обеспечить сохранность конфиденциальных данных должен в первую очередь работодатель, приняв соответствующие меры, чтобы избежать утечек.

“Положение о защите персональных данных работника” – важный внутренний документ, который разрабатывается кадровой службой компании, чтобы определить порядок обращения и защиту личных данных работника в процессе их использования. Создание данного документа является обязательной мерой для организаций – № 152-ФЗ (27.07.06). Законодательно отсутствует единая форма и обязательные требования к оформлению “Положения о защите персональных данных работника”, поэтому возможны различные варианты этого документа. Главное, чтобы там был обозначен регламент утверждающий порядок использования и защиты конфиденциальной информации; положение об обработке бумажных и цифровых сведений; инструкции, определяющие цели и функции работы с информацией; перечень ответственных лиц. С подобным внутренним документом должен быть ознакомлен, под роспись, каждый работник, независимо от должности, вовлеченности в процесс обработки персональных сведений.

Структура “Положения о защите персональных данных работника”

Для упрощения использования личных данных персонала и полного представления инструкций, а также регламента использования этих сведений, “Положение об обработке и защите персональных данных работника” должно содержать следующие пункты:

  • Список того, что конкретно относится к категории персональной информации.

  • С какой целью компания проводит мероприятия по сбору, использованию и хранению вверенных сведений.

  • В каком виде, где и в каких подразделениях хранятся данные.

  • Каким образом осуществляется сбор персональной информации.

  • Как, зачем и для чего используются эти сведения.

  • Перечень лиц, имеющих доступ к персональным сведениям сотрудников.

  • Каким образом производится защита конфиденциальных данных сотрудника.

  • Перечень прав персонала для обеспечения защиты личной информации.

  • Ответственность за разглашение сведений конфиденциального характера.

“Положение о защите персональных данных работника”: порядок обработки и хранения информации

Правовая защита персональных данных работника предполагает, что любые сведения личного характера могут обрабатываться, храниться только с согласия владельца. В связи с этим, необходимо подписывать с работниками отдельную форму согласия или обозначить этот момент отдельным пунктом в трудовом договоре.

Согласно ст. 86 ТК РФ (ред. 22.11.21, 377-ФЗ) работодатель должен:

  • Получать исходные сведения исключительно напрямую от владельца.

  • Применять данные только в целях содействия сотруднику, поддержания и сохранения его личной безопасности, исполнения законов и нормативных актов.

  • Руководствоваться Конституцией и ТК РФ при определении объема сбора личных данных, их содержания.

  • Обеспечивать хранение и защиту вверенных сведений за счет компании.

Меры по обеспечению безопасности персональных данных при их обработке

  • Выявление информационных угроз
  • Проведение организационных и технических мероприятий, направленных на снижение рисков информационных утечек

  • Учёт информационных носителей

  • Внедрение специализированных защитных мер: ПО, видеонаблюдение, контроль работников

  • Оценка эффективности действующих охранных мероприятий

  • Выявление случаев несанкционированного доступа к важной информации

  • Обнаружение информационных утечек, принятие мер по минимизации последствий, наказание виновных лиц

  • Контроль выполнения введенных в организации правил и мероприятий, направленных на сохранение неприкосновенности персональных данных

DLP-система – способ обеспечения защиты персональных данных

DLP-система относится к функциональным и комплексным решениям по защите от утечки персональных данных работников. Использование такой системы, совместно с методами видеонаблюдения и контроля трафика, даёт отличные результаты по эффективности защиты и поддержания “Положения о защите персональных данных работника”.

С помощью DLP-системы возможно одновременно выполнять следующие задачи:

  • Объективно предоставлять ситуацию внутри компании с разных точек зрения: согласно данным, персоналу, событиям ИБ.

  • Выявлять сотрудников, которые превышают свои полномочия, используя служебное положение.

  • Давать оценки соответствию поведения персонала введенному регламенту в организации.

  • Устанавливать случаи мошенничества, взяточничества и вербовки в коллективе.

  • Контролировать процессы передачи и использования информации.

  • Предотвращать в рабочем процессе случайные утечки данных или заранее спланированные.