Какие меры по защите персональных данных работников должны предприниматься при обработке этих данных?
Ахмедова Ирина
В отношении персональных данных работников работодатель обязан не только обеспечить правомерный сбор и обработку персональных данных, но также принимать необходимые меры по защите персональных данных работников. Перечень мер, предусмотренный Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон о персональных данных), не является исчерпывающим, оператор может принимать дополнительные меры. В любом случае состав и перечень мер по защите персональных данных (далее — ПД) определяет сам работодатель (далее также — оператор), кроме мер, которые являются обязательными согласно Закону о персональных данных и принятым в его исполнение нормативным правовым актам. Риск непринятия мер по защите в случае нарушения конфиденциальности ПД лежит на работодателе.
Меры по защите персональных данных можно разделить на следующие категории:
1. Общие меры — в первую очередь направлены на организацию и регламентацию процесса обработки ПД в целом, но также определяют отдельные защитные меры.
2. Меры в сфере обеспечения безопасности — организационно-технические меры, направленные непосредственно на защиту ПД.
Общие меры предусмотрены статьей 18.1. Закона о персональных данных. К таким мерам, в частности, относятся:
1. Назначение юридическим лицом ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1.)
Ответственным за организацию обработки может быть назначено любое лицо, закон не связывает ответственного с какой‑либо должностью. На практике чаще всего ответственными назначаются директора по безопасности, технические директора, юристы, руководители отдела кадров.
Лицо, ответственное за организацию обработки ПД, обязано организовывать и контролировать процессы обработки ПД в компании, доводить до сведения работников положения законодательства Российской Федерации о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД, организовывать прием и обработку обращений и запросов субъектов ПД. Кроме того, ответственный является контактным лицом при взаимодействии с Роскомнадзором.
2. Издание юридическим лицом документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных (п. 2 ч. 1. ст. 18.1.)
Закон не содержит перечня всех локальных актов, которые должны быть приняты в организации, такой список не содержится и в подзаконных актах. Вместе с тем, из текст... ✂
Платный контент
Полная версия публикации доступна только подписчикам.
