Как реализовать защиту персональных данных в организации и не только? Пошаговая инструкция

В эпоху Интернета и цифровых технологий персональная информация человека находится под угрозой.

Выкладывая личные данные на страницах многочисленных социальных сетей, в резюме сайтов по поиску работы, да и просто заполняя опросный лист интернет-магазинов, пользователь рискует тем, что выложенные сугубо личные данные могут быть использованы мошенниками в противозаконных действиях.

Мы не задумываемся, где оставляем информацию о себе и своей жизни, а так же, кто из доверенных субъектов может передавать её третьим лицам.

Скрыть содержание

Общие правила

Защита персональной информации может обеспечиваться несколькими источниками права:

  • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника.
  • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере.
  • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией возникает на протяжении всего рабочего процесса: между работодателем и сотрудником, между сотрудниками, а так же между третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идут уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ.

Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежат лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Предохранительные меры

Организационные:

  • Ограниченный доступ к хранилищам и архивам материалов.
  • Верификация запрашивающего лица перед предоставлением информации.
  • Ознакомительный формат предоставления сведений.
  • Санкции и штрафы за нарушения правил.

Технические:

  • Криптография и шифрование данных.
  • Создание отдельных серверов и каналов связи.
  • Уничтожение неактуальных материалов.
  • Экранировка помещений и устройств, для защиты от взлома.

Защиту персональной информации работник может реализовать через:

  1. Свободное бесплатное обращение к документам, где фигурируют его личные материалы.
    Работник может потребовать копию любого нормативного документа.
  2. Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  3. Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Перечень документов

Акты:

  • Акт уничтожения переносных носителей ПД.
  • Акт классификации носителей ПД.
  • Акт о итога проведения верификации исправности систем и средств защиты ПД.

Инструкции:

  • Инструкция к действиям оператора базы ПД.
  • Инструкция по обеспечению информационной безопасности.
  • Инструкция пользователя при манипуляциях с ПД.

Письма и запросы:

  • Запрос на изменение, удаление, модификацию содержимого ячейки базы ПД.
  • Извещение о прекращении действия оператора баз ПД.
  • Ответ на запрос получения или обработки информации.

Приказы:

  • Генеральный приказ о работе базы ПД.
  • Приказ о назначении администрации и персонала базы ПД.
  • Приказ об охране информации в ячейках базы данных.
  • Приказ о проверке классификации ячеек БД.
Внимание! Обязательным является направление уведомлений.

Уведомления – это сообщения о факте обработки личной информации или таких намерениях.

Прочие:

  • Журналы учёта и архив запросов.
  • Положение об обработке личных материалов.
  • Устав организации, регулирующий принципы и алгоритмы работы с личными сведениями.
  • Соглашение пользователя.
  • Документ о политике конфиденциальности.
  • Перечень средств и методов защиты, применяемых, согласно алгоритму.

О полном перечне документов, который понадобится для организации защиты ПД, мы рассказывали тут, а из этой статьи вы узнаете, какие документы потребуются для защиты персональных данных сотрудников организаций.

Далее подробно расскажем, как реализовать защиту личных сведений.

Пошаговая инструкция по обереганию информации

Здесь вы найдете пошаговую инструкцию по сохранности личной информации

В организации

Как реализовать на предприятии:

  1. Разработка проекта алгоритма обработки персональных сведений.
  2. Разработка системы согласия и отказа на обработку личных материалов.
  3. Разработка проекта уведомительных сообщений о включении личных материалов в общий поток.
  4. Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом.
  5. Издательство приказа о введении материалов работников предприятия в базу данных.

    Приказом определяется порядок и способ обработки и передачи информации, выполняется назначение ответственных, обозначаются санкции и штрафы за нарушение устава.

  6. Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

На сайте интернет-магазина

  1. Пользовательское соглашение на сайте интернет-магазина, где указаны:

    • общие условия использования ресурсом;
    • факторы ответственности владельца организации;
    • как происходит защита прав на сайте, чем она гарантирована.

    Разрешение на рассылку пользователям разного рода уведомлений, порядок оспаривания конфликтных ситуаций.

    Соглашение пользователя – это договор интеграции, который принимается субъектом без претензий, целиком. Соглашение пользователя заранее регулирует возможные конфликтные случаи, связанные с объемом услуг и порядком их предоставления.

  2. Публичная оферта на дистанционный оборот товаров, предоставление услуг. Здесь изложены условия и очередность оформления договора торговли через Интернет.
  3. Политика анонимности. Она определяет алгоритм обработки ПДН в связи с оформление договора на пользование сайтом, исходя из соглашения пользователя и договора купли-продажи.
    Справка! Политика анонимности утверждается приказом администратора сервиса и размещается в свободном доступе.

В медицинских учреждениях

Правила и требования такие:

  1. Подтверждение согласия на обработку персональных материалов оператором, а также обозначение цели данной обработки.
  2. Способы и методы обработки личных материалов, применяющиеся оператором.
  3. Сведения о лицах, которые получат доступ к личным сведениям.
  4. Перечень обрабатываемых личных сведений и источник их получения.
  5. Сроки обработки личных сведений, в т. ч. сроки их хранения.
  6. Сведения о юридических последствия для субъекта, которые может повлечь за собой обработка его материалов.
  7. Разъяснения последствий в случае его отказа в предоставлении своих персональных сведений тогда, когда это установлено в качестве обязанности гражданина федеральным законом.

Таковы правила для медицинских учреждений.

В сети

Как защитить личные сведения в интернете?

Для сайта организации или предприятия порядок такой:

  1. Обработка персональных сведений с использованием средств автоматизированной вычислительной техники подразумевает совершение операций с такими материалами при помощи приборов вычислительной техники в Интернете.
  2. Безопасность вашей информации при их обработке в Интернет обеспечена системой защиты персональных материалов, включающей организационные мероприятия и методы защиты информации, а также используемые в Интернет информационные технологии.
  3. Технические и цифровые средства защиты персональных материалов должны удовлетворять утверждённым в соответствии с законами РФ требованиям, гарантирующим охрану информации.

    Методы защиты информации, применяемые в сети, в утверждённом порядке проходят процедуру оценочного соответствия.

  4. Допуск субъектов к обработке персональных сведений с использованием автоматизации предоставляется на основании “Положения о персональных данных работников и обучающихся” (п. 6) при наличии ключей (паролей) доступа.
  5. Действия с персональными сведениями, содержащимися в Интернет,регулируется в согласии с «Положением о корпоративной компьютерной сети», «Инструкцией пользователя при работе в корпоративной компьютерной сети», «Инструкцией пользователя при обработке персональной информации на объектах вычислительной техники», с которыми сотрудник, в должностные обязанности которого включена обработка персональных материалов, знакомится под роспись.
  6. Операции с персональными материалами в сети должна быть построена так, чтобы обеспечивалась охрану носителей анонимных данных и методик охраны сведений, а также сделать невозможным факт несанкционированного нахождения в этих помещениях сторонних лиц.
  7. Машины и электронные каталоги, содержащие файлы с конфиденциальными сведениями, для каждого пользователя должны быть зашифрованы уникальными ключами доступа, состоящими из шести и более знаков.
    Важно! Работа на устройствах с личными сведениями без кодов доступа, или под сторонними, или общедоступными ключами, воспрещается.
  8. Пересылка персональных сведений без применения специализированных средств защиты по общим каналам связи, в том числе Интернет, воспрещается.
  9. При обработке личных сведений в сети субъектам должно быть обеспечено: использование разработанных для этого разделов (каталогов) информационных носителей, встроенных в технические приспособления, или переносных носителей.
  10. Недопущение физического действия в отношении технических средств автоматизированной обработки личных материалов, в результате которого может быть прервана их активность.
  11. Непрерывное использование противовирусного ПО для обнаружения зараженных элементов и немедленное восстановление персональных сведений, модифицированных или повреждённых вследствие незаконного доступа к ним.
  12. Невозможность несанкционированных извлечений из помещения,подключения, установки оборудования, а также утилизации или конфигурации программного обеспечения.
Из наших отдельных публикаций вы также сможете узнать о том, что такое политика обработки и защиты ПД, как составить Положение о защите ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.

Заключение

Незнание закона не снимает ответственность, что очень важно в эпоху интернета и высоких технологий. Уследить за всеми законодательными аспектами и нюансами невозможно, однако систематизировать и структурировать процессы обработки, хранения и предоставления данных, во избежание проблем с законом – вполне реально.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий