Какие меры по защите персональных данных работников должны предприниматься при обработке этих данных?

Ахмедова Ирина Ахмедова Ирина
1 мар, 2021 - 17:38 Обновлено: 3 июн, 2021 - 19:57
611

В отношении персональных данных работников работодатель обязан не только обеспечить правомерный сбор и обработку персональных данных, но также принимать необходимые меры по защите персональных данных работников. Перечень мер, предусмотренный Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных» (далее — Закон о персональных данных), не является исчерпывающим, оператор может принимать дополнительные меры. В любом случае состав и перечень мер по защите персональных данных (далее — ПД) определяет сам работодатель (далее также — оператор), кроме мер, которые являются обязательными согласно Закону о персональных данных и принятым в его исполнение нормативным правовым актам. Риск непринятия мер по защите в случае нарушения конфиденциальности ПД лежит на работодателе.

Меры по защите персональных данных можно разделить на следующие категории:

1. Общие меры — в первую очередь направлены на организацию и регламентацию процесса обработки ПД в целом, но также определяют отдельные защитные меры.

2. Меры в сфере обеспечения безопасности — организационно-технические меры, направленные непосредственно на защиту ПД.

Общие меры предусмотрены статьей 18.1. Закона о персональных данных. К таким мерам, в частности, относятся:

1. Назначение юридическим лицом ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1.)

Ответственным за организацию обработки может быть назначено любое лицо, закон не связывает ответственного с какой‑либо должностью. На практике чаще всего ответственными назначаются директора по безопасности, технические директора, юристы, руководители отдела кадров.

Лицо, ответственное за организацию обработки ПД, обязано организовывать и контролировать процессы обработки ПД в компании, доводить до сведения работников положения законодательства Российской Федерации о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД, организовывать прием и обработку обращений и запросов субъектов ПД. Кроме того, ответственный является контактным лицом при взаимодействии с Роскомнадзором.

2. Издание юридическим лицом документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных (п. 2 ч. 1. ст. 18.1.)

Закон не содержит перечня всех локальных актов, которые должны быть приняты в организации, такой список не содержится и в подзаконных актах. Вместе с тем, из текст... ✂

Теги: