Грамотная подготовка локальных актов предотвратит утечку персданных работников: советы эксперта
Формальный подход к подготовке локальных нормативных актов может обернуться для компании серьезными штрафами, а в ряде случаев даже уголовной ответственностью должностных лиц. Как мы уже писали в нашем Блоге, особенно строгие меры применяются к тем, кто допускает нарушения при обработке персональных данных работников.
Напомним, что общие требования при обработке персональных данных работника и гарантии их защиты определены в статье 86 Трудового кодекса РФ.
Марина Прыгунова, юрист практики интеллектуальной собственности Capital Legal Services, поделилась с MDS Media советами о том, как грамотно подойти к подготовке локальных нормативных актов (ЛНА), устанавливающих порядок работы с персональными данными (ПД) в компании.
Защитить персональные данные нужно до утечки
Здесь лучше начать с подготовки локальных нормативных актов или их доработки в соответствии с Федеральным законом №152-ФЗ «О персональных данных».
Они закроют сразу несколько потребностей:
создание понятной системы работы с ПД в компании, распределение полномочий;
обучение сотрудников работе с ПД, чтобы исключить «случайную» утечку данных по незнанию;
превенция утечек ПД по злостному умыслу работника (под страхом наступления ответственности, упомянутой в локальных актах работодателя).
Следует определить политику оператора в отношении ПД
Обычно это происходит с помощью Положения об обработке ПД. В нем прямо указаны меры защиты данных в компании, порядок доступа к ПД и обязанности работников для конфиденциальности.
Стоит назначить ответственного за организацию обработки ПД и утвердить подробную должностную
В зависимости от уровня защищенности ПД может дополнительно потребоваться назначение лица, ответственного за безопасность ПД в информационной системе (это, как правило, системный администратор) или даже создание отдела по информационной безопасности.
В документах не стоит ограничиваться общими фразами
Условия обработки ПД должны быть строго конкретизированы — вплоть до разграничения уровня доступа в зависимости от должности сотрудника, установления многоступенчатой процедуры доступа и сроков.
Каждый работник должен быть письменно ознакомлен с Положением и с каждой его новой версией
Дополнительно следует указать обязанности сотрудника о соблюдении конфиденциальности ПД — это может быть в трудовом договоре или в дополнительном соглашении к нему, в NDA или Обязательстве о соблюдении конфиденциальности персональных данных.
Подробнее о ЛНА как эффективном инструменте регулирования бизнес-процессов вы узнаете на курсе MDS «Локальные нормативные акты».
В феврале вы можете получить этот курс в подарок — при покупке любого другого образовательного продукта MDS стоимостью от 30 000 рублей.