В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данных, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелегкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над "и" расставил, а теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с "кипой" документов по ПДн и с вопросом: "А что делать дальше со всем этим хозяйством?" Хорошо, если накануне или по ходу проекта ответственный убедит себя или убедит руководство, что необходимо пройти "азы-основы" на каком-нибудь практическом семинаре или курсе по персональным данным. Тогда и система в голове появится, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий – исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации ответственный и иные должностные лица соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость "деталей", "мелочей", которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы ещё более ужесточится статья 13.11 КоАП РФ. Всем "как бы всё понятно". И вот проект завершен, работы приняты, все сделали выдох и... в компании наступает пауза.
Жизнь берет своё: все, продолжая заниматься своим основным функционалом, постепенно забывают "о персональных данных", и тут вдруг - в организацию приходят новые сотрудники, которым в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
- Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн "Работники", например, или "Клиенты/Граждане", в зависимости от функционала, и получить его подпись в Листе ознакомления.
- Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
- Нужно ознакомить работника с Инструкцией пользователя информационных систем и получить его подпись в Листе ознакомления.
- Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и/или иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. Помните: при этом работник должен фактически ознакомиться с перечисленными документами!
- Работнику нужно в первый день подписать "критичные" согласия в письменной форме: при передаче его персональных данных в банк в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и/или охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например, копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например, на странице "профиль работника" и т.д.
Заключение: Если вы ответственны за организацию обработки персональных данных, то вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкциях, исходя из ваших действий или вашего бездействия.