Как да съхранявате личните данни

Фирми се проверяват за правилното съхранение и обработка на личните данни на служителите. Подготвили сме практически препоръки за хармонизиране на дейността на дружеството в съответствие с изискванията на закона и да се подготвят за евентуални проверки.

През следващата година - напълно въоръжен

През последните шест години законодателят е многократно обръща внимание на въпроса за защита на личните данни на българските граждани. През това време, бе приет закон "На личните данни", изменя Кодекса на труда, който урежда въпроса за защита на личните данни на служителя, въведени редица подзаконови актове, които всеки член на отношенията, възникнали при предаването на лични данни, трябва да се ръководи.

Повишеният интерес на държавата да регулаторна подкрепа на защитата на личните данни се дължи на голям брой случаи на измама от страна на безскрупулни оператори, които работят с лични данни и предотвратяване на изтичане на тази информация и последващото му злоупотреба с престъпници.

Приемането и прилагането на регламента, споменат по-горе всъщност означава готовността на държавата да се премине от нормативната уредба по въпросите на защитата на личните данни с активен "военни" действия, а именно да извършват проверки, за да се идентифицират нарушения на изискванията на действащото законодателство и прилагането на мерки за отговорност на операторите.

Ние се подготвяме за най-лошото - Надявам се на най-доброто

- само оператор, който обработва лични данни, за да се изпълнят изискванията на трудовото законодателство (тоест, в хода на трудовото правоотношение между работника или служителя и работодателя), и / или:

Освен това, като се има предвид правния статут на вашата организация и се ръководи от действащото законодателство, следва да се предприемат следните мерки.

Ако сте един оператор - работодателят

В глава 14 от Кодекса на труда ясно посочва задължителното присъствие на всяко предприятие, вътрешна локална регламент, уреждащ използването и съхранението на лични данни (чл. 87 от RF КТ).

Като правило, този документ служи като регламента относно защитата на личните данни на работниците (по-нататък - "Правилник"), но като цяло е позволено да се включат в съответния раздел на вътрешните правила.

Целта на този документ е да се определят обективни мерки за защита на личните данни на служителите в тяхната преработка, условията на съхранение, условията за достъп на служителите до тези данни, правата и задълженията на работниците и служителите и на работодателите по отношение на въпроса за използването на личните данни на всеки отделен служител.

Разбира се, всички тези условия, на лични данни трябва да бъдат определени в строго съответствие с Кодекса на труда, Закона "На личните данни" и на изискванията на правилника, списъкът на които е дадено по-горе.

Тъй като това локално регулиране е задължително за всеки работодател, и България TC съдържа пряка препратка към правото на работниците да участват в разработването на предпазни мерки, за да гарантира, че системата, свързана със защитата на личните данни, разбира се, необходими, за да се информират взаимно работник, нает в компанията, с този документ. Освен това, в съответствие с член 68, TC България получиха по един кандидат за работа трябва да бъдат запознати с обработката на неговите условия на лични данни, преди сключване на трудов договор.

Документът потвърждава запозна служителите с правилника за прилагане, може да бъде отделен работник разписка, формата на която трябва да бъде посочен като неразделна част от регламента, или можете да използвате други начини да се запознаят служителите с местните нормативни документи (по-нататък - на "LAD") организации, които се отнасят конкретно работодател (например, позоваване на списание LAD, позоваване лист LDF и др ...).

Също така в ситуация да трябва да се определи списъка на служители на организацията, които имат достъп до личните данни на служителите (разбира се, за да изпълни задълженията си) и да представят под формата на документ (например, "споразумение за неразкриване на информация"), че всеки един от тези служители трябва да бъде подпише, за да потвърдите разбирането на тяхната отговорност в случай на разкриване на въпросната информация. В съставянето на списъка на лицата, допуснати до информацията от такъв характер, че е необходимо да се посочи не само редовите работници - художници (като мениджър човешки ресурси, счетоводители служители, адвокати), но също така и да влезе в главите на отдели на компанията, включително и генерален директор.

По този начин, чрез предлагане на служителите да се запознаят с LDF, кажи им, предварително и да получите съгласието си да използват своите лични данни за търговски цели на компанията.

Независимо от това, че задължението за осигуряване на сигурността на личните данни, по време на обработката им и за защита срещу неоторизиран достъп от трети лица в организацията на съхранение на личните данни е ясно определена от действащото законодателство. Ето защо, всеки оператор - работодателите трябва да гарантират, че техническите средства за защита, като: наличие на безопасно с код за достъп (и / или шкафове, заключващ се, и / или отделни стаи, заключен с ключ или съответен код - за личните данни, обработвани без използването на оборудване за автоматизация). Информация за клавиша код или достъп трябва да се допуска само за работа с лични данни на лица.

лични данни, от своя страна, се обработват в информационни системи (в действителност, то всички бази данни, съхранявани на сървъри или компютърни твърди дискове, със или без специализирани програми), също трябва да бъдат защитени от пускането на различните методи, в това число, като например:

- Изпълнение на разрешението на потребителите достъп до системата (персонал по поддръжката) до информационни ресурси, информационни системи и свързана с неговата употреба, документ;

- ограничаване на достъпа на потребителите до помещенията, в които е публикувал технически средства за извършване на обработката на лични данни и носители се съхраняват;

- записване и съхраняване на сменяеми носители и тяхното обжалване, който изключва кражба, заместване и елиминиране;

В резултат на това за готовността на всеки оператор - работодателят до възможността да се проверява за съответствие в областта на личните данни на изискванията за защита на работниците законодателство в бъдеще, е необходимо да има системи за защита на работната данни, съдържащи двата физическата среда без средства за автоматизация и информационни системи, регламентирани със съответните LDF разработен като се вземе предвид съществуващото законодателство единствено въз основа на техническите ресурси на вашата организация.

Ако сте един оператор-търговец

В случай, че не само на работодателя, но и организация, която се дължи на спецификата на търговска дейност или дейности, за да получава и обработва личните данни на лица, които не са свързани с вас, трудови или гражданско-правни отношения, в допълнение към организационни и технически мерки, изброени по-горе , така трябва:

- да се разработи и одобри местен нормативен акт, който ще определи не само методите на обработка и съхранение на получени лични данни, но и целите, за които те са длъжни да ви; а трябва да се обърне специално внимание на унищожаването на получената информация и обезличаване;

- Член 22 от Закона "На личните данни" установява задължение за всеки оператор, който действа като такъв, а не само във връзка с трудовото правоотношение, да уведоми Федералната служба за надзор на съобщенията, информационните технологии и масовите комуникации (Roskomnadzor) на своя намерение за извършване на обработка на лични данни, преди те да бъдат обработени. След такова уведомление в рамките на 30 дни, операторът ще бъдат включени в регистъра на операторите. Въпреки това, един и същ закон установява случаите, в които не се изисква нотификация за планираната обработка на лични данни.

В допълнение към всички тези инструкции е важно да се помни, че всяка компания, като правило, има входящ контрол на достъпа на хора на територията на организацията. Обикновено получи пас служители по сигурността да поискат документ за самоличност на посетителя, и по този начин да се започне лечение на такива лични данни, като съответната информация в дневник на посетителите. За легализирането на процес, въз основа на посочените по-горе нормативни актове, е необходимо също така и за такива случаи на личните данни, за да определят как да се обработва информация, получена съхранение и унищожаване на съответната LDF (например: Регламент на службите за сигурност, Регламент на контролно-пропускателен пункт режим и т. т.).

Одитор дойде при нас!?

Връщайки се към административните разпоредби на проверки Roskomnadzor, е необходимо да се вземе предвид, че проверките за сигурност може да бъде планиран така и непланирани.

В този рутинни проверки ще бъде назначен по отношение на операторите на списъка, както и оператори, не е в списъка, но занимава с обработването на лични данни.

На свой ред, непланирани проверки са възможни в случай на нарушения в областта на защитата на операторите на лични данни, подробности за които могат да бъдат получени от контролния орган, не само по време на рутинна проверка на сигурността, но в случай на получаване на информация от трети лица, например, от служителите на компанията , публични органа, упражняващи контролни функции, свързани.