Персональные данные, их правильная защита и обработка уже давно стали головной болью бизнесменов. Работа с персональными данными присутствует во всех компаниях, которые имеют сотрудников или оказывают услуги клиентам. Как сделать работу в этой области безопасной в соответствии с законом?

Компания-оператор персональных данных должна предусмотреть способы защиты персональных данных. Этого требует Федеральный закон от 27.06.2007 № 152-ФЗ. Также есть требования ст. 86 ТК РФ, согласно которым компании необходимо защитить сведения о сотрудниках. Независимо от того, чьи данные получила компания, она обязана позаботиться об их сохранности. Эти сведения относятся к конфиденциальным (ст. 7 закона № 152-ФЗ).

Задача компании в работе по защите персональных данных – уберечь эту информацию от распространения, постороннего вмешательства или уничтожения (ч. 1 ст. 19 закона 152-ФЗ).

Для создания системы защиты персональных данных руководство предприятия должно сделать следующее:

  1. Провести анализ организации и выявить возможные пути утечки данных;
  2. Создать систему учёта деловой документации, которая содержит персональные данные;
  3. Внедрить организационные и технические средства защиты данных.

Под организационными средствами защиты понимаются локальные акты, основной из которых – Положение о защите и обработке персональных данных. В состав этого документа помимо правил, входят письменные согласия сотрудников на обработку их персональных данных, а также условия их ознакомления с подобными правилами организации.

Этот документ основной, но не единственный, который должен быть в компании. Если вы только начинаете свою работу, позаботьтесь о его наличии.

В техническую защиту входят антивирусные программы, пароли, криптозащита и иные способы защиты компьютеров и устройств, на которых хранятся персональные данные.

Компания может не использовать технические средства автоматизации при обработке данных. В таком случае необходимо выполнить следующее:

  1. Назначить место хранения документов, которые содержат данные;
  2. Определить круг лиц, у которых есть доступ к этой информации или право работать с ней;
  3. Определить перечень мер по защите информации. Принять меры, чтобы лица без права доступа не могли получить данные в своё пользование;
  4. Хранить раздельно различные персональные данные – защита персональных данных подразумевает разбиение их на категории, чтобы повысить сохранность. Например, сведения о сотрудниках следует хранить отдельно от сведений о клиентах (п. 13–15 Положения № 687).

И помните, что внутренние правила и положения обязательно вводятся приказами об их утверждении и введении. Это касается и Положения о защите и обработке персональных данных.