Меры по защите персональных данных сотрудников

В нормативных документах отсутствует детальная классификация угроз, а оценка и степень защиты персональных данных устанавливается хозяйствующими субъектами самостоятельно. Для требуемой конфиденциальности нужно провести ряд мероприятий по обеспечению защищенности, включающих ограничение несанкционированного доступа.

Цели и условия обработки

Обязательным атрибутом для обработки персональных данных является конкретно установленная цель, не допускающая избыточности информации. Содержание и объем используемых данных должны четко соответствовать цели, включая срок хранения, по истечении которого сведения обязаны обезличиваться (ст.5 закона № 152-ФЗ от 27.07.2006 года). Допуск к обработке возможен в случаях:

• согласия владельца;
• участия лица в судопроизводстве;
• исполнения функций и полномочий госорганами;
• заключения соглашения, где субъект будет выступать в роли поручителя или выгодоприобретателя;
• необходимости представления интересов третьих лиц.

У работодателя поводами для передачи сведений сторонним организациям могут выступать заключение договоров страхования, предоставление персонификации в ПФР, оформление зарплатных карт. Для выполнения условия относительно согласия целесообразно внести соответствующий пункт в трудовой договор или закрепить во внутренней локальной документации, где распишется весь штат.

Мероприятия по защите

Для соблюдения конфиденциальности хозяйствующий субъект должен составить перечень мероприятий самостоятельно. Получившие доступ должностные лица обязаны не разглашать сведения без согласия владельца, если иное не предусмотрено правовыми актами (ст.7 закона № 152-ФЗ). В список защитных мероприятий целесообразно включить:

• перечень лиц для доступа;
• приказ о назначении работника, ответственного за проведение мер;
• утверждение требований к помещению, предусмотренному для хранения;
• обеспечение уровня программной защиты при использовании систем электронной обработки сведений.

Сроки хранения и защиты

Для хранения ряда кадровых и бухгалтерских документов установлен пятилетний период для представления контролирующим органам. Только для расчетно-платежных ведомостей по заработной плате и сопутствующей документации предусматривается максимальный срок хранения – 75 лет. Однако по завершении пяти лет документы подлежат архивации, а нормы регулирующего закона № 152-ФЗ не распространяются на архив. После архивации «миссия» организации считается законченной, а данные подлежащими уничтожению.