Одним из важнейших локальных актов, которые должны быть разработаны и утверждены в организации, является Положение о защите (обработке) персональных данных.
Что такое персональные данные?
Закон № 152-ФЗ гласит, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации относятся Ф.И.О. и другие паспортные данные, ИНН, СНИЛС, номер телефона, сведения об образовании, доходах и др.
Среди персональных данных, с которыми имеет дело обычная организация – данные ее работников, клиентов и партнеров — физических лиц.
Такие данные надо правильно обрабатывать и не допускать их незаконного распространения.
В этих целях необходимо иметь положение о защите (обработке) персональных данных, назначить лиц, ответственных за соблюдение этого положения, а также принять ряд организационных и технических мер, которые следует подробно прописать в самом положении.
Организация защиты персональных данных
Как именно защищать персональные данные, каждая организация решает самостоятельно. В некоторых случаях закон предусматривает обязательные для принятия меры, например – необходимо назначить ответственное за соблюдение положения лицо.
Следует учитывать, что круг мер, направленных на защиту персональных данных должен быть достаточным для того, чтобы не допускать их утечку. В противном случае организацию могут привлечь к административной и гражданско-правовой ответственности за нарушение законодательства в области персональных данных.
Что следует указать в Положении о защите персональных данных?
В Положении о защите персональных данных следует указать, с какой целью оно принимается, какие вопросы регулирует, перечень документов которые содержат персональные данные сотрудников; какие условия должны быть соблюдены при обработке персональных данных; каков порядок передачи персональных данных внутри организации, а также сторонним лицам и государственным органам; прописать порядок доступа (внутреннего и внешнего) к персональным данным работников; дисциплинарную ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
Кроме того, организация может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные физических лиц.
Необходимо помнить, что при судебных разбирательствах по поводу утечки персональных данных организация должна будет доказать, что ею были соблюдены все меры по установлению режима защиты таких данных. Поэтому так важно разработать, ввести в действие положение о защите (обработке) персональных данных и неукоснительно соблюдать его.