Для работодателей защита персональных данных работников – это не формальность, а вопрос безопасности и репутации компании. Любая утечка может обернуться штрафами, судебными разбирательствами и потерей доверия со стороны сотрудников.
В этом материале мы разберем, как HR-специалисту и руководителю построить надежную систему защиты персональных данных, минимизировать риски и обезопасить компанию.
Почему защита персональных данных – это головная боль для HR
Защита персональных данных – это комплекс мероприятий для обеспечения конфиденциальности, целостности и доступности сведений, относящихся к конкретному человеку.
HR-специалисты находятся на «передовой» в вопросах защиты персональных данных сотрудников. Согласно Федеральному закону № 152‑ФЗ и ст. 86 ТК РФ, работодатель обязан обеспечить конфиденциальность, целостность и законное использование этих данных.
Нарушение правил обработки данных может обернуться серьезными последствиями:
- штрафами от Роскомнадзора;
- исками от сотрудников;
- репутационным ущербом для компании.
Нарушения могут возникнуть даже при мелких ошибках: неправильное хранение бумажных согласий или утечка электронной информации. Именно поэтому HR должен быть внимательным к каждому этапу обработки персональных данных и строить систему защиты с учетом всех рисков.
Чтобы понимать, что именно нужно защищать, ознакомьтесь с нашим полным гайдом по персональным данным в HR.
Читайте также
Персональные данные в HR: как работать с данными кандидатов и сотрудников
персональные данные в HR
Система защиты персональных данных: из чего она состоит
Система защиты персональных данных – это не просто антивирус и пароли, а целый комплекс мер защиты от утечки данных. Она включает в себя правовые, организационные и технические меры.
Правовые меры: положение о защите и обязательство о неразглашении
Правовые меры задают правила игры внутри компании с помощью локальных актов. Они закрепляют, кто и на каких основаниях имеет право работать с персональными данными.
Ключевые документы компании по защите персданных:
- Положение о защите персональных данных работников.
Это основной локальный акт, который регулирует обработку и защиту данных сотрудников. В документе перечисляются цели обработки, состав и категории данных, порядок хранения и меры безопасности.
- Обязательство о неразглашении.
Подписывается каждым сотрудником, который имеет доступ к личной информации коллег. Документ подтверждает персональную ответственность за соблюдение конфиденциальности.
Структура обязательства о неразглашении:
- ФИО, должность сотрудника
- Ссылка на применимые законы.
- Перечень сведений, относящихся к персональным данным.
- Запрет на передачу, копирование и разглашение данных.
- Порядок действий при подозрении на утечку.
- Виды ответственности за нарушения.
- Подпись и дата.
Организационные меры: доступ, хранение, ответственные
Организационные меры отвечают за порядок в работе с данными и минимизацию человеческого фактора.
Что нужно сделать для обеспечения организационных мер:
- Назначить ответственного за защиту персональных данных.
- Определить список сотрудников, которым разрешен доступ к персональным данным.
- Разработать регламент доступа и порядок передачи данных внутри компании.
- Оборудовать сейфы или шкафы для хранения личных дел в бумажном виде.
- Установить правила для работы с электронными носителями.
- Проводить регулярные внутренние проверки соблюдения правил хранения и доступа.
Такая организация процессов помогает снизить риск утечки данных по вине сотрудников и упорядочить внутренние процедуры.
Перед тем как доверить сотруднику работу с конфиденциальными данными, нужно убедиться в его благонадежности. Это поможет снизить риск утечки или злоупотребления доступом.
Попробуйте комплексную проверку кандидатов и сотрудников бесплатно
Оставьте заявку на демонстрацию сервиса и получите тестовые проверки
проверка сотрудников онлайн
Проверить кандидата можно с помощью автоматизированного сервиса SpectrumData. Сервис формирует единый отчет с информацией о задолженностях, наличии ИП, связях с компаниями-конкурентами и других деталях биографии соискателя или сотрудника.
Какие бывают технические меры защиты
Техническая защита данных обеспечивается через использование защищенных каналов связи, антивирусных программ, систем резервного копирования и шифрования информации. Такая система помогает не только выполнить требования законодательства, но и защитить компанию от штрафов и утечек.
Читайте также
Как обеспечить техническую защиту информации на предприятии
техническая защита информации
Уровни защищенности персональных данных (УЗ): что нужно знать HR
Приказ ФСТЭК № 21 устанавливает 4 уровня защищенности персональных данных (УЗ). Каждый уровень определяет, насколько строгие меры защиты компания обязана применять при обработке данных сотрудников.
УЗ зависит от 3 факторов:
- категория данных – общие, специальные или биометрические;
- объем данных – сколько субъектов персональных данных обрабатывается;
- характер угроз – по классификации ФСТЭК (госструктуры, преступные группы, частные лица и пр.).
Проще говоря, чем чувствительнее данные – тем выше должен быть уровень защиты. И максимальным уровнем защищенности является УЗ-1, а минимальным – УЗ-4.
Чтобы понять, какой уровень защиты нужен вашей компании, можно воспользоваться таблицей:
|
Уровень защищенности |
Когда применяется |
Тип данных |
Характер угроз |
Пример организаций |
|
УЗ-1 (максимальный) |
Обработка специальных или биометрических данных, в том числе в государственных органах |
Специальные (чувствительные) данные |
Угрозы 1-го типа (со стороны иностранных государств и структур) |
Госорганы, банки, медучреждения |
|
УЗ-2 |
Обработка обычных данных более 100 000 человек или при угрозах 1–2 типов |
Биометрические данные |
Угрозы 2-го типа (организованные преступные группы) |
Крупные компании, холдинги, телеком |
|
УЗ-3 |
Обработка данных от 1 000 до 100 000 человек, без специальных категорий |
Общедоступные данные |
Угрозы 3-го типа (отдельные злоумышленники, инсайдеры) |
Средние компании, IT-организации, сети |
|
УЗ-4 (минимальный) |
Обработка данных менее 1 000 человек, без биометрии и специальных категорий |
Иные данные |
Случайные угрозы (ошибки персонала, сбои систем) |
Малый бизнес, локальные компании |
Как работодателю определить уровень защищенности:
- Оцените тип данных, с которыми работает компания (общие, биометрические или специальные).
- Посчитайте, сколько сотрудников или кандидатов включено в систему.
- Проанализируйте возможные угрозы – внутренние (ошибки, инсайдеры) или внешние (взлом, хакеры).
Если сомневаетесь, какой уровень выбрать, лучше определить более высокий, чем требуется: это снизит риски при проверках Роскомнадзора.
Ответственность за разглашение и кражу персональных данных
За нарушение правил обработки персональных данных предусмотрено несколько видов ответственности. Они различаются по степени тяжести и последствиям для организации и сотрудников.
Дисциплинарная ответственность
Применяется внутри компании, если работник нарушил внутренние правила. Например, при разглашении персональных данных третьим лицам или утрате документов.
В качестве дисциплинарного взыскания работодатель может применить:
- выговор;
- замечание;
- увольнение по инициативе работодателя (по п. 6 ч. 1 ст. 81 ТК РФ).
Административная ответственность
За нарушение порядка сбора, хранения, использования и распространения персональных данных могут привлечь к административной ответственности по ст. 13.11 КоАП РФ.
Размер штрафа за административное нарушение:
- для должностных лиц – от 3 до 20 тыс. рублей;
- для юридических лиц – от 15 до 150 тыс. рублей;
- при повторных или грубых нарушениях – до 500 тыс. рублей.
Уголовная ответственность
Если разглашение персданных повлекло серьезные последствия, виновного сотрудника могут привлечь к уголовной ответственности. Например, за неправомерный доступ к компьютерной информации или при разглашении личной тайны.
По каким статьям может наступить уголовная ответственность:
- Ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»).
При незаконном получении или передаче персональных данных обяжут выплатить штраф до 300 тыс. рублей или посадят на срок до 4 лет.
- Ст. 137 УК РФ («Нарушение неприкосновенности частной жизни»).
Наказывается штрафом до 200 тыс. рублей либо обязательными работами до 360 часов. При использовании служебного положения для получения или распространения данных о частной жизни наказание будет строже: 100-300 тыс. рублей штрафа или 4 года лишения свободы с запретом занимать определенные должности 5 лет.
Часто задаваемые вопросы
Где и как правильно хранить бумажные согласия на обработку ПДн?
Бумажные согласия нужно хранить в помещении с ограниченным доступом. Например, в запираемом металлическом шкафу или сейфе, желательно в отдельной папке по сотрудникам или отделам.
Доступ к бумажным носителям должен быть только у уполномоченных сотрудников, например у кадровиков или специалиста по персональным данным.
Можно ли обсуждать данные кандидата в общем рабочем чате?
Обсуждение персональных данных в мессенджерах – это нарушение конфиденциальности. Такие чаты не обеспечивают защиту информации и могут привести к утечке.
Обсуждать кандидатов можно через внутренние защищенные системы или корпоративные платформы, где есть разграничение прав доступа.
Что делать в первую очередь при подозрении на утечку данных?
При подозрении на утечку данных необходимо:
- немедленно сообщить об этом ответственному за обработку персданных;
- оценить масштаб инцидента: какие данные утекли и скольких человек затронула утечка;
- заблокировать источник утечки;
- сообщить в Роскомнадзор об утечке в течение 24 часов с момента обнаружения ( постановление Правительства РФ № 1133 от 30.06.2021).
После устранения инцидента нужно провести служебное расследование и обновить меры защиты.
Авторы: Дилара Ильясова, Олеся Москевич
Спасибо!
Проверьте почту, мы отправили вам первое письмо с просьбой подтвердить подписку
Не удалось подписаться
Пожалуйста, попробуйте еще раз
Оставьте заявку на консультацию
Спасибо! Заявка отправлена
Наши специалисты свяжутся с вами в ближайшее время
Не удалось отправить заявку
Пожалуйста, попробуйте еще раз или свяжитесь с нами по телефону