Мероприятия по защите персональных данных

Оператор определяет, какие мероприятия по защите персональных данных позволят соблюдать требования законодательства РФ. Причем перечень таких мероприятий может быть предельно широким. И разработан самостоятельно. Разумеется, кроме обязательных к исполнению, перечень которых определяет закон.

Обязательные мероприятия по защите персональных данных

Оператор персональных данных, в том числе работодатель, в силу ст. 22.1 Закона обязан назначить лицо, ответственное за обработку персональных данных в организации. Это же требование обязательно для работодателя. Поэтому на сайте мы разместили образец и рекомендации такого документа, как приказ о назначении ответственного за обработку персональных данных. И, пожалуй, это единственное прямое указание в законе как на одно из обязательных мероприятий.

Все остальные меры согласно ст. 18.1, 19 Закона оператор определяет сам. Но главное, что эти меры должны быть достаточны, чтобы обеспечить выполнение обязанностей оператора (ст. 18.1.). Перечень таких мероприятий можно разделить на правовые, технические и организационные.

Специальные требования и мероприятия по защите персональных данных устанавливают органы государственной власти, компании, подпадающие под действие Европейского регламента о персональных данных (продажа товара гражданам Евросоюза).

Мероприятия правового характера по защите сведений личного характера

Судебная практика и Роскомнадзор в качестве достаточных мероприятий правового характера считают принятие (утверждение) таких актов, как:

Организационные и технические процедуры

Требования к защите информации, которая хранится на бумажных носителях, закон не детализирует. Поэтому с основными положениями о хранении персональных данных можно ознакомиться в специальной публикации. Мы рекомендуем хранить носители в специальных помещениях, причем в зависимости от категории персональных данных и цели их обработки. Насчет охраны помещений, работодатель решает сам. Это может быть специальная металлическая дверь, шкаф. Или сигнализация и т.п.

Хранение данных в электронном виде — очень специальная вещь. Для организации надлежащего хранения привлекают, как правило, специалистов. Во-первых, оператор данных должен определить тип угрозы (см. Требования к защите персональных данных при их обработке в информационных системах). А затем уже подобрать один из четырех уровней защищенности, исходя из типа угрозы.

Работодатель принимает меры по защите персональных данных работника в соответствии с гл. 14 Трудового кодекса РФ. Реализация мероприятий по защите персональных данных — прямая обязанность оператора и работодателя.

 

Задайте свой вопрос юристу

Время подготовки ответа займет какое-то время.