апр
22
2024
redaktor
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
- Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
- Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
- Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
- Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
- Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
Заключение:
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.