Доступ к конфиденциальной информации
Аудит и классификация данных
на базе системы
В российском законодательстве особое внимание уделяется вопросам хранения и доступа к информации. В первую очередь речь идет о работе сотрудников коммерческих и государственных организаций, у которых есть доступ к конфиденциальной информации – коммерческой и государственной тайне. Это создает риск утечки данных. Примеры, которые хорошо иллюстрируют проблему – промышленный шпионаж и воровство технологий, несанкционированный доступ к базам данных клиентов банков.
Для того чтобы обезопасить информацию, принимаются обязательные меры по ее защите. Они описываются в Федеральном законе «О коммерческой тайне». Среди них можно выделить контроль за порядком получения информации и установление ограничительных мер, а также строгий учет всех лиц, которым доступны такие сведения.
Для соблюдения этих мер используются разрешительные системы доступа персонала организаций к информации.
Что такое конфиденциальная информация
Конфиденциальные данные – это информация, доступ к которой имеет ограниченный круг лиц. При этом те, кто получает конфиденциальные сведения, не имеют права раскрывать их третьим лицам без предварительной договоренности и согласия контролирующих органов.
Организации ограничивают доступ к определенной информации из-за того, что она напрямую связана с коммерческим интересом предприятия или имеет ценность сама по себе.
Разрешительные системы
Разрешительная система доступа к информации – это комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД). В каждой организации системы устроены по-разному, но, исходя из требований закона, у них есть общие черты:
Для понимания того, как функционирует разрешительная система, нужно подробнее рассмотреть, как реализовывается каждая функция, возлагаемая на нее.
Нормативно-правовая база
Каждая разрешительная система опирается на свод нормативно-правовых документов организации, в котором описываются правила работы с защищаемыми сведениями, а также требования к лицам, которые получают конфиденциальную информации.
От того, насколько проработана правовая база системы, зависит то, как успешно она будет функционировать. В нормативно-правовых актах следует максимально детально отразить, как строится управленческая вертикаль организации (кто и каким образом выдает разрешение на доступ к конфиденциальной информации), описать требования к сотрудникам и указать перечень лиц, ответственных за управление конфиденциальной информацией.
Чем детальнее проработана нормативно-правовая база в организации, тем меньше риск утечки данных. Важно сделать так, чтобы каждое действие, связанное с защищенными данными, подвергалось контролю внутри организации.
В документах нужно перечислить сотрудников, которые могут санкционировать доступ к сведениям. При этом нужно разграничивать их полномочия. К примеру, директор имеет право предоставить разрешение на просмотр любых данных, в то время как руководитель отдела ограничен своей сферой деятельности.
Определение круга лиц, которые получают разрешение
Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.
В зависимости от ценности защищаемых сведений, меняются требования. К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей. В случае работы с государственной тайной работник часто не имеет права покидать пределы РФ. Запрет на выезд за границу – один из частных способов защитить ценные сведения от утечки.
Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации:
Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.
Система контроля доступа также учитывает и ценность самих конфиденциальных данных. Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.
Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.
Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.
Контроль за сотрудниками, имеющими доступ к информации
Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений.
Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.
Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).
Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали. Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение. Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.
Хранение, обработка и передача информации
Должностные лица обязаны контролировать документооборот организации и следить, чтобы никто не получил к нему несанкционированный доступ. Для этого конфиденциальные сведения должны передаваться по защищенным каналам связи и храниться надежным образом.
Физические документы ранжируются по грифам и располагаются в охраняемом месте, в пределах которого могут находиться только доверенные лица. Выдача документов для просмотра происходит под наблюдением уполномоченных сотрудников.
Если данные хранятся на электронных носителях, то они должна быть зашифрованной. Самая важная и засекреченная информация должна храниться на устройствах без подключения к Интернету. Допускается ее передача по локальной сети организации, но только в зашифрованном виде. Эти меры позволяют защитить сведения от НСД.
Порядок доступа к конфиденциальной информации
При получении доступа к конфиденциальной информации сотрудник делает прямой запрос руководителю. В нем он должен указать причины, по которым ему понадобилась закрытая информация. Иногда запрос предварительно проверяют сотрудники более низкого ранга и служба безопасности.
Для получения разрешения сотрудник обязан изучить нормативно-правовую базу организации, касающуюся секретных сведений. Кроме того, он подписывает документ, по которому на него накладываются дополнительные обязательства, в том числе требование о неразглашении секретных данных.
Документ, который разрешает доступ к информации, – это допуск, в котором перечислены лица, получающие его, и перечень сведений, которые им выдаются. На нем обязательно должна быть подпись руководителя или официальная печать. Обязательному протоколированию подлежат дата и время получения информации.
Допуск могут выдавать и другие лица – заместители руководителя и иные должностные лица. Они выдают разрешения только в пределах своих полномочий.
Доступ к конфиденциальной информации – важный вопрос как для коммерческих, так и для государственных организаций. Чтобы защитить сведения, в организациях вводятся разрешительные системы доступа к информации, которые позволяют уберечь секретные данные он несанкционированного проникновения к ним и предотвратить их утечку из-за сотрудников.
Глава 2. Порядок обращения с документами, содержащими информацию конфиденциального характера
Глава 2. Порядок обращения с документами, содержащими информацию
конфиденциального характера
2.2. Учет носителей должен предшествовать началу их эксплуатации. Регистрация должна осуществляться в журнале учета документов и изданий с пометкой «Для служебного пользования» в структурных подразделениях, где производится обработка конфиденциальной информации. При этом сотрудником, ответственным за регистрацию и контроль служебной переписки в структурном подразделении, на этих носителях информации проставляются любым доступным способом следующие учетные реквизиты: наименование структурного подразделения, наименование носителя, учетный номер по журналу регистрации и дата регистрации, пометка «ДСП», а также другие возможные реквизиты, идентифицирующие этот носитель.
2.3. Съемные магнитные носители и документы с пометкой «Для служебного пользования» хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).
2.4. Системные блоки компьютеров должны быть опечатаны. Их вскрытие может осуществляться только лицом, уполномоченным для производства ремонтно-профилактических работ с последующим отпечатыванием.
2.5. Документы с пометкой «Для служебного пользования» во время работы располагаются так, чтобы исключить возможность ознакомления с ними других лиц, не имеющих к ним прямого отношения.
2.6. Подготовка проектов документов, содержащих сведения конфиденциального характера, может, осуществляется на магнитных носителях, зарегистрированных с пометкой «Для служебного пользования», на объектах информатизации, аттестованных по требованиям безопасности информации.
2.7. Документы, содержащие сведения конфиденциального характера, разрешается печатать (распечатывать) на объектах информатизации, аттестованных по требованиям безопасности информации.
2.8. Программа аттестационных испытаний таких объектов информатизации определяется аттестационной комиссией в соответствии с приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 г. N 282 «Об утверждении специальных требований и рекомендаций по технической защите конфиденциальной информации».
2.9. Отпечатанный документ, содержащий сведения конфиденциального характера, должен отвечать следующим требованиям:
1) первая страница основного документа (сопроводительного письма) и первая страница каждого из его приложений, содержащих сведения конфиденциального характера, должна иметь в правом верхнем углу пометку «Для служебного пользования», а под ним номер экземпляра;
2) при наличии приложений к основному документу (сопроводительному письму) после собственно текста основного документа должны быть указаны: номера приложений, их наименования, номера прилагаемых экземпляров и количество листов в них;
3) на обороте последнего листа каждого экземпляра основного документа (сопроводительного письма) и на обороте последнего листа каждого экземпляра каждого из его приложений (в левой нижней части листа) указывается по порядку в каждой отдельной строке фамилия исполнителя документа, фамилия сотрудника, отпечатавшего документ, и номер телефона исполнителя.
4) на документе, который остается в деле исполнителя, кроме того, указывается количество отпечатанных документов, рассылка каждого экземпляра, дата печатания, ссылка на черновик (копию).
2.10. Отпечатанные и подписанные (утвержденные) документы, оформленные в соответствии с пунктом 2.9 настоящего Положения, вместе с черновиками (если таковые имеются) передаются для регистрации работнику, осуществляющему их учет.
2.11. Документы с пометкой «Для служебного пользования» копируются (размножаются) только с письменного разрешения руководителя структурного подразделения. При этом на оригинале основного документа делается соответствующая запись с указанием количества сделанных копий и их рассылка. На каждом размноженном документе проставляется слово «Копия» с указанием ее номера. Учет размноженных документов осуществляется поэкземплярно с отражением в учетных формах делопроизводства.
2.12. Носители и документы, зарегистрированные с пометкой «Для служебного пользования», передаются между руководителями органов местного самоуправления и структурными подразделениями Администрации муниципального образования «Город Первоуральск» в установленном порядке через сотрудника, ответственного за регистрацию и контроль служебной переписки;
Запрещается без записи в учетных формах передавать носители и документы с пометкой «Для служебного пользования» другому лицу.
2.14. При необходимости направления документов с пометкой «Для служебного пользования» в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправленных документов. Указатель рассылки подписывается исполнителем и руководителем структурного подразделения, готовившего документ.
2.15. Исполненные документы с пометкой «Для служебного пользования» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. Документы группируются в дела отдельно или вместе с другими открытыми документами по одному и тому же вопросу. На обложке дела, в которое помещены такие документы, проставляется пометка «Для служебного пользования».
2.16. При снятии с документа пометки «Для служебного пользования» в стандартных учетных формах делаются соответствующие отметки и информируются все адресаты, которым этот документ направлялся.
2.17. Уничтожение дел или документов с пометкой «Для служебного пользования», утративших свое практическое значение, производится по акту стандартных учетных форм делопроизводства. В учетных формах об уничтожении делается пометка со ссылкой на соответствующий акт.
2.18. Уничтожение ГМД, зарегистрированных с пометкой «Для служебного пользования», производится в подразделении, в котором они зарегистрированы. Уничтожение производится комиссией, с составлением соответствующего акта и последующей записью в учетных формах.
2.19. Пришедшие в негодность ЖМД должны быть сданы в подразделения, ответственные за эксплуатацию СВТ и ЛВС структурных подразделений. Уничтожение ЖМД, зарегистрированных с пометкой «Для служебного пользования», производится в подразделениях, ответственных за эксплуатацию СВТ и ЛВС структурных подразделений, комиссией с составлением соответствующего акта и последующей записью в учетных формах.
2.20. При передаче компьютеров в другие структурные подразделения или в случае привлечения для ремонта СВТ специалистов сторонних организаций носители, зарегистрированные с пометкой «Для служебного пользования», должны быть изъяты из конфигурации СВТ на время ремонта.
Запрещается передавать магнитные носители, зарегистрированные с пометкой «Для служебного пользования», в сторонние организации.
2.21. Запрещается производить хранение, обработку конфиденциальной информации на портативных компьютерах.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Интервью с экспертом. Как работать с персональными данными работников в 2021 году
координатор кадрового и hr-направления в Контур.Школе
Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки
2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.
В конце статьи есть шпаргалка
Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?
Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.
С 1 марта 2021 года:
С 1 июля 2021 года:
Есть ли обязательный перечень документов по персональным данным для организаций?
Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.
Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.
Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Основные обязательные документы:
Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.
При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:
Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.
Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.
Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).
Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.
Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.
Каковы штрафы за нарушения обработки и распространения персональных данных?
Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.
Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.
Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:
За повторное нарушение ввели новые штрафы:
Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?
Что необходимо проверить:
Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?
Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:
В конце статьи есть шпаргалка
За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:
Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).
С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?
Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.
Алгоритм действий:
Какие самые частые нарушения допускают кадровики при работе с персональными данными?
Самые распространенные нарушения по персональным данным:
О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.
Какие согласия нужно взять с работника при приеме на работу?
Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).
Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?
У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.
Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.
На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.
Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.
Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?
Когда можно предоставлять персональные данные без согласия работника
Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.
Когда нельзя предоставлять персональные данные без согласия работника
На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.
Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.
Как действовать при запросе данных третьими лицами
Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.
Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?
Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.
Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?
Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.
Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?
Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:
Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.
Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.
Оптимально хранить оригиналы документов, необходимые работодателю:
Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.
Рекомендации кадровикам по работе с персональными данными работников
Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.
Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.
Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ
