Что должен знать руководитель о хранении персональных данных?

Еще в 1981 году Советом Европы была принята Конвенция под названием «О защите личности в связи с автоматической обработкой персональных данных». В 2005 году Российская Федерация ратифицировала эту Конвенцию и обязана была привести свое законодательство в соответствие с ней. Для этого в 2006 году был принят федеральный закон «О персональных данных», который иногда называют законом о защите персональных данных.

В соответствии с этим законом, практически каждая организация занимается сбором и хранением персональных данных, то есть является оператором персональных данных. Причем, за нарушение норм закона предусмотрена административная, а в некоторых случаях, даже уголовная ответственность.

Все ли при этом понимают, что является персональными данными? В законе подробно описано, что персональными данными являются фамилия, паспортные данные, адрес проживания, доходы и прочая информация, которую можно идентифицировать с конкретным человеком. Даже если организация не ведет базу данных клиентов, в ней обязаны храниться личные дела сотрудников. А это как раз и есть работа с персональными данными.

С чего же начать приводить работу организации в соответствии с законом? Первым делом, руководитель должен утвердить приказом документ под названием «Положение о работе с персональными данными», где должно быть подробно прописано, как ведется такая работа в организации. Второе – издать Приказ о допуске к персональным данным, где нужно перечислить всех сотрудников, допущенных к этим данным. После этого, нужно убедиться, что эти сотрудники понимают, что относится к персональным данным. При необходимости отправить их пройти соответствующее обучение и ознакомить с ответственностью.

Выполнив эти действия, нужно убедиться, что доступ к персональным данным имеют только те сотрудники, которые перечислены приказом. Все документы, подпадающие под это определение должны храниться в запирающихся несгорающих шкафах или сейфах. Компьютеры с файлами, содержащими персональные данные, должны быть защищены паролями и антивирусными программами. Если сотрудники работают с документами либо файлами, содержащими персональные данные, периодически, то рекомендуется завести журнал выдачи таких документов, с подписью сотрудников об ответственности за распространение персональных данных.

Нельзя забывать, что работа с личной информацией должна соответствовать целям обработки персональных данных. Например, если собраны личные данные сотрудников для целей соблюдения положений трудового договора, нельзя использовать эту информацию в личных целях или распространять, передавать в другие организации.

Если руководитель посчитает, что объем работы с персональными данными слишком большой, то он может назначить ответственного за эту работу и поручить ему контролировать ее соответствие законодательству. В особых случаях, можно даже ввести в штатное расписание заместителя руководителя по работе с персональными данными.

Оставьте первый комментарий