Embed Size (px)
Citation preview
Защита Защита персональных персональных
данных данных работников работников
Положения о защите Положения о защите персональных данных персональных данных
работников регламентируютработников регламентируют Конституция Российской ФедерацииКонституция Российской Федерации Федеральный закон 27 июля 2006 г. № 149-Федеральный закон 27 июля 2006 г. № 149-
ФЗ «Об информации, информационных ФЗ «Об информации, информационных технологиях и о защите информации»технологиях и о защите информации»; ;
Федеральный закон от 27 июля 2006 г. № Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»152-ФЗ «О персональных данных»
Трудовой кодекс Российской ФедерацииТрудовой кодекс Российской Федерации
подзаконные нормативные правовые акты подзаконные нормативные правовые акты (постановления Правительства РФ, (постановления Правительства РФ, ведомственные нормативные правовые акты), а ведомственные нормативные правовые акты), а также на локальном уровне должны также на локальном уровне должны приниматься нормативные и иные акты в целях приниматься нормативные и иные акты в целях обеспечения защиты персональных данных обеспечения защиты персональных данных работников. работников.
персональные данныеперсональные данные – любая – любая информация, относящаяся к информация, относящаяся к определенному или определяемому определенному или определяемому на основании такой информации на основании такой информации физическому лицу (субъекту физическому лицу (субъекту персональных данных), в т.ч. его персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, дата и место рождения, адрес, семейное, социальное, семейное, социальное, имущественное положение, имущественное положение, образование, профессия, доходы, образование, профессия, доходы, другая информация.другая информация.
Персональные данные относятся Персональные данные относятся к к категории категории конфиденциальной конфиденциальной информацииинформации,, которые указаны в Перечне которые указаны в Перечне сведений конфиденциального характера сведений конфиденциального характера (утвержден (утвержден Указом Президента РФ от 6 Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального Перечня сведений конфиденциального характера»характера»).).
работодатель, получающий доступ к работодатель, получающий доступ к персональным данным, должен обеспечить персональным данным, должен обеспечить конфиденциальность таких данных.конфиденциальность таких данных.
Образовательные учреждения, Образовательные учреждения, являющиеся некоммерческими являющиеся некоммерческими организациями, обязаны в установленных организациями, обязаны в установленных федеральным законодательством случаях, федеральным законодательством случаях, в том числе в рамках реализации в том числе в рамках реализации предусмотренного предусмотренного Федеральным Федеральным законом «О профессиональных союзах, законом «О профессиональных союзах, их правах и гарантиях деятельности»их правах и гарантиях деятельности» права на информацию права на информацию (ст. 17),(ст. 17), представлять по запросу профсоюзной представлять по запросу профсоюзной организации сведения о численности и об организации сведения о численности и об оплате труда работников учреждения. оплате труда работников учреждения.
Постановлением Правительства РФ от Постановлением Правительства РФ от 17 ноября 2007 г. № 78117 ноября 2007 г. № 781 утверждено утверждено Положение об обеспечении Положение об обеспечении безопасности персональных данных безопасности персональных данных при их обработке в информационных при их обработке в информационных системах персональных данныхсистемах персональных данных
установлены требования к обеспечению установлены требования к обеспечению безопасности персональных данных при их безопасности персональных данных при их обработке в информационных системах обработке в информационных системах персональных данных, представляющих персональных данных, представляющих собой совокупность персональных данных, собой совокупность персональных данных, содержащихся в базах данных, а также содержащихся в базах данных, а также информационных технологий и информационных технологий и технических средств, позволяющих технических средств, позволяющих осуществлять обработку таких осуществлять обработку таких персональных данных персональных данных с использованием с использованием средств автоматизациисредств автоматизации..
Информационные системы Информационные системы персональных данных персональных данных работников работников образовательных образовательных учреждений, созданные до 1 учреждений, созданные до 1 января 2010 года, должны января 2010 года, должны быть приведены в быть приведены в соответствие с соответствие с требованиями ФЗ о требованиями ФЗ о персональных данных персональных данных не не позднее 1 января 2011 годапозднее 1 января 2011 года..
Постановлением Постановлением Правительства РФ от Правительства РФ от 15 сентября 2008 г. № 15 сентября 2008 г. № 687 687 утверждено утверждено Положение об Положение об особенностях обработки особенностях обработки персональных данных, персональных данных, осуществляемой без осуществляемой без использования средств использования средств автоматизацииавтоматизации..
Приказом Федеральной службы по Приказом Федеральной службы по техническому и экспортному техническому и экспортному контролю (ФСТЭК) от 5 февраля контролю (ФСТЭК) от 5 февраля 2010 г. № 58 2010 г. № 58 утверждено утверждено Положение Положение о методах и способах защиты о методах и способах защиты информации в информационных информации в информационных системах персональных данныхсистемах персональных данных , , регламентирующее вопросы, связанные регламентирующее вопросы, связанные с порядком применения методов и с порядком применения методов и способов защиты информации в способов защиты информации в информационных системах информационных системах персональных данных оператором или персональных данных оператором или уполномоченным им лицом.уполномоченным им лицом.
Федеральная служба по надзору в Федеральная служба по надзору в сфере связи, информационных сфере связи, информационных технологий и массовых технологий и массовых коммуникаций коммуникаций (Россвязькомнадзор) (Россвязькомнадзор)
приказ от 17 июля 2008 г. № 08 приказ от 17 июля 2008 г. № 08
утвержден образец уведомления об утвержден образец уведомления об обработке (о намерении осуществлять обработке (о намерении осуществлять обработку) персональных данных и обработку) персональных данных и Рекомендации по заполнению образца Рекомендации по заполнению образца формы уведомления об обработке (о формы уведомления об обработке (о намерении осуществлять обработку) намерении осуществлять обработку) персональных данных.персональных данных.
Ст. 22 ФЗ о персональных данных Ст. 22 ФЗ о персональных данных установлено, что оператор вправе установлено, что оператор вправе осуществлять без уведомления осуществлять без уведомления уполномоченного органа по защите уполномоченного органа по защите прав субъектов персональных данных прав субъектов персональных данных обработку персональных данных,обработку персональных данных, относящихся к субъектам относящихся к субъектам персональных данных, которых персональных данных, которых связывают с оператором трудовые связывают с оператором трудовые отношения. отношения.
Следовательно, образовательные Следовательно, образовательные учреждения не должны учреждения не должны уведомлять этот уполномоченный уведомлять этот уполномоченный орган об обработке ими орган об обработке ими персональных данных работников, персональных данных работников, состоящих в трудовых отношениях состоящих в трудовых отношениях с учреждениями.с учреждениями.
Планирование Планирование мероприятий по мероприятий по
защите защите персональных персональных
данных данных работников работников
Необходимо:Необходимо:
разработать локальные акты разработать локальные акты (нормативные и правовые), связанные (нормативные и правовые), связанные не только с организационной и не только с организационной и правовой, но и технической защитой правовой, но и технической защитой персональных данных;персональных данных;
проработать механизмы проработать механизмы взаимоотношений с органами, взаимоотношений с органами, осуществляющими управление в сфере осуществляющими управление в сфере образования, профсоюзными образования, профсоюзными организациями, органами контроля и организациями, органами контроля и надзора и т.д. надзора и т.д.
Обязательные этапы работ Обязательные этапы работ по защите персональных по защите персональных
данных работников:данных работников:- определение всех ситуаций, когда требуется проводить - определение всех ситуаций, когда требуется проводить
обработку персональных данных; обработку персональных данных; - выделение процессов, в которых обрабатываются - выделение процессов, в которых обрабатываются
персональные данные; персональные данные; - выбор ограниченного числа процессов для проведения - выбор ограниченного числа процессов для проведения
аналитики (на этом этапе формируется перечень аналитики (на этом этапе формируется перечень подразделений и работников, участвующих в обработке подразделений и работников, участвующих в обработке персональных данных в рамках своей служебной персональных данных в рамках своей служебной деятельности); деятельности);
- определение круга информационных систем и - определение круга информационных систем и совокупности обрабатываемых персональных данных; совокупности обрабатываемых персональных данных;
- проведение категорирования персональных данных и - проведение категорирования персональных данных и предварительной классификации информационных систем; предварительной классификации информационных систем;
- разработка пакета организационно-распорядительных - разработка пакета организационно-распорядительных документов для обеспечения защиты персональных данных документов для обеспечения защиты персональных данных (положения, приказы, акты, инструкции и т.п.); (положения, приказы, акты, инструкции и т.п.);
- внедрение системы обеспечения безопасности - внедрение системы обеспечения безопасности информации информации
Защита персональных Защита персональных данных работников в данных работников в
образовательном образовательном учрежденииучреждении
создание внутренней документации создание внутренней документации по работе с персональными по работе с персональными данными; данными;
создание организационной системы создание организационной системы защиты персональных данных; защиты персональных данных;
внедрение технических мер защиты внедрение технических мер защиты персональных данных.персональных данных.
Правовое Правовое регулирование регулирование
вопросов обеспечения вопросов обеспечения защиты персональных защиты персональных данных работников на данных работников на
локальном уровнелокальном уровне
ст. 85 ТК РФ к ст. 85 ТК РФ к персональным данным персональным данным работника относит работника относит информацию, информацию, необходимую необходимую работодателю в связи работодателю в связи с трудовыми с трудовыми отношениями и отношениями и касающаяся касающаяся конкретного конкретного работника.работника.
Ответственность за нарушение Ответственность за нарушение требованийтребований
по защите персональных данныхпо защите персональных данных
В соответствии со В соответствии со ст. 24 ФЗ ст. 24 ФЗ персональных данныхперсональных данных лица, лица, виновные в нарушении требований виновные в нарушении требований этого федерального закона, несут этого федерального закона, несут гражданскую, уголовную, гражданскую, уголовную, административную, дисциплинарную и административную, дисциплинарную и иную предусмотренную иную предусмотренную законодательством Российской законодательством Российской Федерации ответственность.Федерации ответственность.
Статьей 87 Трудового кодекса Статьей 87 Трудового кодекса РФ предусмотрено, что порядок РФ предусмотрено, что порядок хранения и использования хранения и использования персональных данных персональных данных работников устанавливается работников устанавливается работодателем с учетом работодателем с учетом требований ТК РФ и иных требований ТК РФ и иных федеральных законов, что федеральных законов, что подразумевает регулирование подразумевает регулирование порядка обработки персональных порядка обработки персональных данных работников локальными данных работников локальными нормативными и иными актами. нормативными и иными актами.
Положение о защите Положение о защите персональных данных персональных данных работников, которое работников, которое принимается с учетом принимается с учетом мнения выборного органа мнения выборного органа первичной профсоюзной первичной профсоюзной организации учреждения в организации учреждения в порядке, предусмотренном порядке, предусмотренном ст. 372 ТК РФст. 372 ТК РФ
Необходимо также наличие Необходимо также наличие следующих документов:следующих документов:
В процессе получения персональных данных работников:В процессе получения персональных данных работников: - согласие работника на получение работодателем - согласие работника на получение работодателем
персональных данных от третьих лиц персональных данных от третьих лиц - уведомление работника о получении его персональных - уведомление работника о получении его персональных
данных от третьих лиц данных от третьих лиц
При осуществлении обработки персональных данных При осуществлении обработки персональных данных работников:работников:
- согласие работника на обработку его персональных данных - согласие работника на обработку его персональных данных - приказ об утверждении списка лиц, имеющих доступ к - приказ об утверждении списка лиц, имеющих доступ к
персональным данным работниковперсональным данным работников - обязательство о неразглашении персональных данных - обязательство о неразглашении персональных данных
работниковработников
При передаче персональных данных работников:При передаче персональных данных работников: - согласие работника на передачу его персональных данных - согласие работника на передачу его персональных данных
третьим лицамтретьим лицам
Рекомендуется ведение в образовательном Рекомендуется ведение в образовательном учреждении следующих учетных учреждении следующих учетных
документов движения персональных документов движения персональных данных работников:данных работников:
журнал учета внутреннего доступа к журнал учета внутреннего доступа к персональным данным работников в персональным данным работников в учреждении;учреждении;
журнал учета выдачи персональных данных журнал учета выдачи персональных данных работников учреждения организациям и работников учреждения организациям и государственным органам; государственным органам;
журнал проверок наличия документов, журнал проверок наличия документов, содержащих персональные данные содержащих персональные данные работников.работников.
журнал учета применяемых работодателем журнал учета применяемых работодателем носителей информации.носителей информации.
Получателями персональных Получателями персональных данных работника на законном данных работника на законном
основании являютсяосновании являются:: органы социального страхования, органы социального страхования,
органы пенсионного обеспечения, органы пенсионного обеспечения, а также иные органы, организацииа также иные органы, организации;;
налоговые органыналоговые органы);); органы прокуратуры и другие органы прокуратуры и другие
правоохранительные органы правоохранительные органы федеральная инспекция трудафедеральная инспекция труда профессиональные союзыпрофессиональные союзы другие органы и организации в другие органы и организации в
случаях, предусмотренных случаях, предусмотренных федеральным законом.федеральным законом.
Система государственного Система государственного надзора и контроля в области надзора и контроля в области
персональных данныхперсональных данных
Федеральная служба по надзору в Федеральная служба по надзору в сфере связи, информационных сфере связи, информационных технологий и массовых технологий и массовых коммуникаций (Роскомнадзор)коммуникаций (Роскомнадзор)
Федеральная служба по Федеральная служба по техническому и экспортному техническому и экспортному контролю (ФСТЭК)контролю (ФСТЭК)
Федеральная служба безопасностиФедеральная служба безопасности (ФСБ)(ФСБ)
Федеральная инспекция трудаФедеральная инспекция труда
