ВОПРОС
Какой полный перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении?
В учреждении имеется 4 автоматизированные системы обработки конфиденциальной информации (персональных данных). Организация работы по защите персональных данных касается только их обработки в вышеуказанных информационных системах или на бумажном носителе тоже?
ОТВЕТ
В настоящее время законодатель полный перечень необходимых документов по организации работы по защите персональных данных в государственном казенном учреждении не определяет. Документы по защите персональных данных хранятся в информационных системах, требования к организации защиты персональных данных на бумажных носителях не указаны в законе, но рекомендуем хранить персональные данные на бумажных носителях.
ОБОСНОВАНИЕ
Согласно ст. 7 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных", операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
При этом законодатель не определяет точного состава такого пакета и не указывает, какую форму должны иметь документы по защите персональных данных. Это означает, что руководство организации может определить перечень и вид используемой для этих целей документации самостоятельно.
Для защиты персональных данных работников создайте комплект следующих основных документов:
- приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных). Вы можете назначить любого работника организации, например, специалиста отдела по управлению персоналом. Главное, чтобы этот работник смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
Например, он должен доводить до сведения сотрудников положения законодательства о персональных данных, а также локальных актов об обработке персональных данных (п. 2 ч. 4 ст. 22.1 Закона о персональных данных);
- положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
- приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.
- Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.
- Должностные инструкции.
- Технологическая группа документов, которая содержит сведения, определяющие порядок и способы реализации процедуры защиты персональных данных. К ней могут быть отнесены инструкции по обработке и защите персональных данных.
Вы можете включить в этот комплект и другие необходимые документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.
Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе.
Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона - вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).