Перечень мер по защите персональных данных, которые должны приниматься вами при обработке этих данных, законом не ограничен.

Как правило, к таким мерам относятся: создание специального комплекта документов (в частности, приказа о назначении ответственного за организацию обработки персональных данных, локального нормативного акта о защите персональных данных), особый режим использования и хранения персональных данных на бумажных носителях.

Также, если вы обрабатываете и храните персональные данные в электронном виде, вам нужно принять особенные организационные и технические меры, в частности определить тип угроз безопасности и подобрать соответствующий этому типу уровень защищенности. От этого уровня защищенности зависит, какие меры защиты персональных данных вам нужно принять. Для этого можете привлечь специалиста в этой области, чтобы избежать ошибок при организации таких специальных мер.

Меры по защите персональных данных вы разрабатываете сами совместно с работниками и их представителями.

 

1. Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся на бумажных носителях?

Требования к организации защиты персональных данных на бумажных носителях подробно не описаны в законе. Ключевое требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Поэтому мы рекомендуем, в частности, следующее:

• хранить персональные данные на бумажных носителях в специальных помещениях. Учитывайте, что нужно раздельно хранить персональные данные (материальные носители), которые обрабатываются в разных целях (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации);
• организовать особый режим доступа в эти помещения, в частности утвердить перечень лиц, имеющих доступ в данные помещения, с учетом требований п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
• организовать охрану таких помещений, например оборудовать их сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах.

Обратите внимание, что в некоторых случаях обязательно хранить персональные данные в железных шкафах. Например, в таких шкафах должны храниться документы воинского учета, содержащие персональные данные работников (п. 21 Методических рекомендаций по ведению воинского учета в организациях).

 

2. Как организовать защиту персональных данных работников при обработке этих данных, если они хранятся в электронном виде?

Организовать защиту персональных данных, которые хранятся в информационных системах, непросто. Основное требование закона — вы должны принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие этих мер (п. 7 ст. 86 ТК РФ, ч. 1 ст. 19 Закона о персональных данных).

Но есть множество уточнений, которые прописаны в Приказе ФСТЭК России от 18.02.2013 N 21 и Приказе ФСБ России от 10.07.2014 N 378.

Поэтому можете привлечь специализированную организацию или ИП, у которых есть лицензия на деятельность по технической защите конфиденциальной информации (п. 2 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных).

В частности, для защиты персональных данных потребуется:

• определить, какой у вас тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах);
• подобрать один из четырех уровней защиты персональных данных, исходя из вашего типа угрозы, в соответствии с п. п. 8 — 16 Требований к защите персональных данных при их обработке в информационных системах.

Именно от этого и будет зависеть комплекс мер.

Например, если по итогам определения типа угрозы специалист предложит вам обеспечить минимальный (четвертый) уровень защищенности персональных данных работников, вам потребуется (п. 13 Требований к защите персональных данных при их обработке в информационных системах):

• обезопасить помещения, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа;
• обеспечить сохранность носителей персональных данных;
• утвердить перечень лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе;
• защитить информацию с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз).

Кроме того, вы обязаны взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В частности, потребуется уведомлять о компьютерных инцидентах, из-за которых персональные данные неправомерно переданы (предоставлены, распространены и т.д.) (ч. 12 ст. 19 Закона о персональных данных). При этом руководствуйтесь Порядком взаимодействия, утвержденным Приказом ФСБ России от 13.02.2023 N 77.

 

3. Что делать, если персональные данные работников неправомерно или случайно переданы (предоставлены, распространены и т.д.)?

Если передача данных привела к нарушению прав работников, вы обязаны в течение 24 часов с момента ее выявления уведомить Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона о персональных данных):

• об инциденте и его предполагаемых причинах;
• возможном вреде, причиненном правам работников;
• принятых мерах по устранению последствий инцидента;
• лице, которое вы уполномочили взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

По выявленному факту вы обязаны провести внутреннее расследование. О его результатах нужно уведомить Роскомнадзор в течение 72 часов с момента обнаружения передачи данных. Кроме того, надо предоставить сведения о лицах, из-за которых произошел инцидент (если такие есть) (п. 2 ч. 3.1 ст. 21 Закона о персональных данных).

Порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных утверждены Приказом Роскомнадзора от 14.11.2022 N 187. Документом, в частности, установлены требования к содержанию первичного и дополнительного уведомлений (п. п. 2 — 3 указанного Порядка).

Отдельные операторы, например субъекты критической информационной инфраструктуры, обязаны направлять информацию о компьютерных инцидентах, руководствуясь п. 2 Порядка взаимодействия, утвержденного Приказом ФСБ России от 13.02.2023 N 77. Такие операторы вправе обратиться в НКЦКИ за содействием в реагировании на выявленный компьютерный инцидент (п. 5 названного Порядка).

 

4. Какие риски возможны, если не будут приняты меры по защите персональных данных работников при обработке этих данных?

В таком случае возможны следующие риски, в частности:

• административная ответственность, например, за необеспечение сохранности персональных данных при их неавтоматизированной обработке, если это повлекло неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия и нет признаков уголовно наказуемого деяния. Так, для должностного лица штраф составит от 8 тыс. до 20 тыс. руб. (ч. 6 ст. 13.11 КоАП РФ);
• уголовная ответственность, например, за незаконное использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации с персональными данными, полученной незаконным путем. Виновному грозит ответственность вплоть до лишения свободы (ч. 1, 2 ст. 272.1 УК РФ).