Работа с персональными данными: новые правила

Ужесточены нормы законодательства по защите персональных данных работников. Вследствие этого строительной компании нужно позаботиться о соблюдении установленных в данной сфере требований.

Что изменилось
В целях дополнительной защиты сведений о гражданах в закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ были внесены значительные поправки, вступившие в силу с 1 июля 2011 года (см. закон от 25 июля 2011 г. № 261-ФЗ).

Изменилось само понятие персональных данных, под которыми сейчас понимается каждая информация, относящаяся к прямо либо косвенно определенному либо определяемому физическому лицу (п. 1 ст. 3 закона № 152-ФЗ).

Строительная компания, обрабатывающая такие эти, по собственному статусу соответствует понятию оператора.

Под обработкой персональных данных понимается любое воздействие (операция) с персональными данными, совершаемое с применением средств автоматизации либо без их применения. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), применение данных и т. д.

Введено понятие автоматизированной обработки персональных данных, и соответствующее нормативное регулирование.

Уточнены правила обработки сведений (ст. 5 закона № 152-ФЗ).

Закреплено, что обработка обязана ограничиваться достижением конкретных, заблаговременно определенных целей. Наряду с этим обрабатываемые эти не должны быть избыточными. В случае если срок хранения персональных сведений не установлен (законом, контрактом), хранить их необходимо не продолжительнее, чем этого требуют цели обработки.

По окончании чего эти подлежат уничтожению или обезличиванию.

Новшеством есть кроме этого то, что регламентирован порядок поручения обработки персональных данных третьему лицу. Компания вправе это сделать с согласия работника на основании заключаемого с третьим лицом соглашения (поручения оператора).

Лицо, осуществляющее обработку персональных данных по поручению оператора (компании-работодателя), обязано выполнять правила и принципы таковой операции, предусмотренные законом № 152-ФЗ.

В поручении должны быть выяснены список действий с данными и цели их обработки, а помимо этого, установлена обязанность третьего лица выполнять конфиденциальность этих сведений и снабжать безопасность при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица будет нести сама компания.

А лицо, осуществляющее обработку информации по ее поручению, несет ответственность перед компанией.

Какие конкретно меры предпринять
В закон № 152-ФЗ введена новая статья 18.1. В ней предусмотрены меры, направленные на обеспечение обновленных требований.

Работодателю направляться определить список мер, нужных для исполнения обязанностей по обработке персональных данных. Он обязан включать:

– назначение лица, важного за организацию обработки персональных данных;

– издание компанией документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки таких предотвращения и сведений (устранения) нарушений;

– использование правовых, организационных и технических мер по безопасности персональных данных;

– осуществление внутреннего контроля соответствия обработки персональных данных указанному закону и принятым на основании его нормативным правовым актам;

– оценку вреда, что возможно причинен субъектам персональных данных при нарушения закона;

– ознакомление работников компании, конкретно осуществляющих обработку персональных данных, с требованиями законодательства о защите персональных данных, локальными актами по указанным вопросам и обучение этих работников.

Обратите внимание: строительной организации сейчас кроме Положения по защите персональных данных работников, которое следовало принять в соответствии с Трудовым кодексом РФ, нужно создать новый документ – Политику в отношении обработки персональных данных.

Как обеспечить безопасность
Обеспечение безопасности персональных данных достигается, в частности:

– определением угроз безопасности данных при их обработке в информационных совокупностях;

– применением организационных и технических мер;

– учетом машинных носителей персональных данных;

– обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

– восстановлением данных, модифицированных либо стёртых с лица земли благодаря несанкционированного доступа;

– установлением правил доступа к персональным данным, и обеспечением учёта и регистрации всех действий, совершаемых с ними в информационной совокупности;

– контролем за уровнем защищенности информационных совокупностей.

Не нужно забывать и о том, что на данный момент действуют документы:

– приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о способах и методах защиты информации в информационных совокупностях персональных данных»;

– Методика определения актуальных угроз безопасности персональных данных утвержденная ФСТЭК России 14 февраля 2008 г.;

– Базисная модель угроз безопасности персональных данных утвержденная ФСТЭК России 15 февраля 2008 г.

Учтите: по запросу уполномоченного органа по защите прав субъектов персональных данных строительная компания обязана представить локальные акты и документы либо иным образом подтвердить принятие соответствующих мер.

Работа с персональными данными: закон ветхий, штрафы новые


Похожие заметки:

Понравилась статья? Поделиться с друзьями: