информационная система персональных данных бухгалтерский учет
Информационная система персональных данных бухгалтерский учет
(1).jpg "p1110798(1)(1)")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 декабря 2017 г. N 278 «Об утверждении Положения об информационной системе персональных данных «Автоматизированная система кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8»
В целях реализации плана информатизации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на 2017-2018 годы и во исполнение приказа Роскомнадзора от 6 июня 2016 года N 161 «О вводе в эксплуатацию информационной системы персональных данных «Автоматизированная система кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8» приказываю:
1. Утвердить прилагаемое Положение об информационной системе персональных данных «Автоматизированная система кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8».
2. Руководителям территориальных органов Роскомнадзора, Управлению организационной работы и Финансовому управлению обеспечить внесение изменений в должностные регламенты государственных гражданских служащих Роскомнадзора, уполномоченных на работу в информационной системе персональных данных «Автоматизированная система кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8».
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роскомнадзора А.А. Панкова.
| Руководитель | А.А. Жаров |
УТВЕРЖДЕНО
приказом Роскомнадзора
от 29.12.2017 г. N 278
Положение
об информационной системе персональных данных «Автоматизированная система кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8»
2. Система создана, функционирует и развивается в целях повышения эффективности организации деятельности кадровых служб Роскомнадзора, в частности, управления кадровым составом, сокращения трудозатрат специалистов кадровых служб и финансовых подразделений (в части денежных расчётов с государственными гражданскими служащими и работниками), обеспечения защиты персональных данных государственных гражданских служащих Роскомнадзора.
Система обеспечивает автоматизацию сбора, накопления и обработки информации о государственных гражданских служащих Роскомнадзора и его территориальных органов, в том числе для:
— ведения реестра должностей государственной гражданской службы Роскомнадзора и его территориальных органов;
— ведения единой базы данных вакантных должностей государственной гражданской службы Роскомнадзора и его территориальных органов, а также кандидатов на вакантные должности;
— ведения единой базы данных лиц, включённых в кадровые резервы на должности государственной гражданской службы Роскомнадзора и его территориальных органов, а также в резерв управленческих кадров Роскомнадзора и его территориальных органов;
— предоставления аналитической и статистической информации о кадровом составе государственной гражданской службы Роскомнадзора и его территориальных органов;
— ведения кадрового делопроизводства в Роскомнадзоре и его территориальных органах;
— контроля своевременности исполнения законодательства о государственной гражданской службе Роскомнадзором и его территориальными органами;
— мониторинга результатов оценки показателей, эффективности и результативности кадровой работа Роскомнадзора и его территориальных органов;
— мониторинга результатов оценки показателей эффективности и результативности государственных гражданских служащих Роскомнадзора и его территориальных органов, а также результатов оценочных процедур;
— оценки соответствия профессионального уровня государственных гражданских служащих Роскомнадзора и его территориальных органов (стаж, образование, профессиональные навыки и знания) квалификационным требованиям к должности.
3. Задачами Системы являются:
— автоматизация кадровой работы и консолидация информации о кадровом составе;
— внедрение механизмов планирования и современных кадровых технологий;
— формирование статистических и аналитических материалов по вопросам кадровой работы;
— минимизация бумажного документооборота в кадровых подразделениях;
— обеспечение денежных расчётов с кадровым составом;
— обеспечение безопасности персональных данных в соответствии с законодательством Российской Федерации.
4. Функционирование Системы осуществляется на следующих принципах:
— единство организационно-методического обеспечения Системы;
— возможность информационного взаимодействия с внешними и смежными информационными системами;
— применение централизованных справочников и классификаторов;
— единство методологических и технологических решений при осуществлении кадровой работы с использованием Системы;
— однократность ввода информации при осуществлении кадровой работы.
5. Система состоит из следующих функциональных подсистем:
— «Расчет заработной платы»;
— «Формирование кадрового состава»;
— «Обеспечение соблюдения требований к служебному поведению, урегулирование конфликта интересов и противодействия коррупции»;
— «Оценка эффективности кадровой работы Роскомнадзора и его территориальных органов»;
— «Контроль и оповещение»;
— «Справочная информация и отчётность»;
6. Перечень подсистем может уточняться и дополняться в процессе развития Системы.
7. Подсистема «Организационно-штатная структура» должна обеспечивать:
— формирование организационной структуры и штатного расписания Службы;
— формирование и ведение реестра должностей гражданской службы, включаемых в штатное расписание.
8. Подсистема «Кадровый учёт» должна обеспечивать:
— формирование и ведение реестра кадрового состава;
— формирование личных карточек формы Т-2 и Т-2ГС;
— формирование и регистрацию служебных контрактов, трудовых договоров и дополнений к ним;
— процедуры приёма на работу, перемещения и увольнения кадрового состава;
— формирование и контроль исполнения графика отпусков;
— учёт поощрений и взысканий, отпусков, периодов нетрудоспособности, командировок и иных сведений о кадровом составе, учёт которых предусмотрен законодательством и влияет на персональное денежное содержание государственного служащего или работника, замещающего должность, не относящуюся к должностям государственной гражданской службы;
— формирование начислений и удержаний при денежных расчётах с кадровым составом.
9. Подсистема «Расчет заработной платы» должна обеспечивать:
— начисление в установленном порядке всех видов заработной платы, пособий по временной нетрудоспособности, пособий по беременности и родам, премий, компенсаций и других выплат;
— начисление и перечисление в бюджет налогов, предусмотренных действующим законодательством Российской Федерации, со всех видов выплат, произведенных сотрудникам Роскомнадзора;
— составление бухгалтерской, статистической отчетности в части расчетов по оплате труда и выплатам из государственных внебюджетных фондов, в Федеральную налоговую службу, Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, Федеральную службу государственной статистики в установленные сроки и в соответствии с действующим законодательством Российской Федерации;
— ведение карточек-справок, налоговых карточек и карточек по страховым взносам по каждому сотруднику Роскомнадзора.
10. Подсистема «Формирование кадрового состава» должна обеспечивать:
— проведение конкурсов на замещение вакантных должностей и конкурсов на включение в кадровый резерв: формирование списков кандидатов с указанием необходимых сведений о гражданах и гражданских служащих, подавших заявления для участия в конкурсе; подготовку предусмотренных законодательством документов для организации, проведения и оформления результатов конкурсов;
— формирование списков гражданских служащих (граждан), включённых в кадровый резерв;
— формирование справок, содержащих сведения о гражданском служащем (гражданине), включаемом в кадровый резерв;
— учёт работы с кадровым резервом (основания включения, профессиональное развитие, назначения, исключение из кадрового резерва);
— формирование списка гражданских служащих, включённых в кадровый резерв управленческих кадров Роскомнадзора, и учёт работы с ним (назначения, исключения из резерва).
11. Подсистема «Профессиональное развитие» должна обеспечивать:
— формирование и контроль исполнения планов профессионального развития гражданских служащих;
— подготовку предусмотренных законодательством документов для организации, проведения и оформления результатов мероприятий профессионального развития гражданских служащих.
12. Подсистема «Оценка сотрудников» должна обеспечивать:
— аттестацию гражданских служащих: формирование и контроль исполнения графиков аттестации; подготовку предусмотренных законодательством документов для организации, проведения и оформления результатов аттестации;
— организацию ежегодной оценки профессиональной служебной деятельности государственного гражданского служащего.
13. Подсистема «Обеспечение соблюдения требований к служебному поведению, урегулирование конфликта интересов и противодействия коррупции» должна обеспечивать:
— регистрацию поступающих в кадровое подразделение или подразделение по профилактике коррупционных и иных правонарушений документов, предусмотренных законодательством в установленной сфере;
— подготовку мотивированных заключений (представлений) по результатам рассмотрения поступивших документов в установленных законодательством случаях;
— оформление предусмотренных законодательством документов об организации и результатах проведения проверок достоверности и полноты сведений, представляемых гражданскими служащими, и соблюдения гражданскими служащими требований к служебному поведению;
— оформление предусмотренных законодательством документов о результатах заседаний Комиссии по соблюдению требований к служебному поведению федеральных государственных гражданских служащих и урегулированию конфликта интересов;
— учёт и контроль поступления справок о доходах, расходах, об имуществе и обязательствах имущественного характера, представляемых гражданскими служащими;
— проведение анализа сведений о доходах, расходах, об имуществе и обязательствах имущественного характера, представляемых гражданскими служащими.
14. Подсистема «Оценка эффективности кадровой работы Роскомнадзора и его территориальных органов» должна обеспечивать возможность анализа деятельности территориальных органов Роскомнадзора в заданной системе измеримых контрольных показателей кадровой работы.
15. Подсистема «Контроль и оповещение» должна обеспечивать:
— контроль и оповещение пользователей о событиях, включая планируемые.
16. Подсистема «Справочная информация и отчётность» должна обеспечивать:
— формирование форм статистической отчётности, установленной законодательством;
— формирование кадровой отчётности об определённых направлениях кадровой работы;
— возможность получения справочной информации о кадровом составе по определённым параметрам (количественным и качественным), по определённым направлениям кадровой работы, по определённым кадровым документам, параметрам и критериям отбора.
17. «Обеспечивающая подсистема» должна обеспечивать:
— ведение номенклатуры дел кадровых документов;
— интеграцию Системы со смежными и внешними системами;
— администрирование пользователей и обеспечение информационной безопасности;
— регистрацию событий в Системе, включая действия пользователей, в привязке к временной шкале.
18. Оператором Системы, обеспечивающим её функциональное и аналитическое развитие, а также методологическое руководство кадровой работой в Роскомнадзоре является Управление организационной работы.
19. Участниками информационного взаимодействия при формировании информационного ресурса Системы, обеспечивающими её функционирование, являются:
— Управление по надзору в сфере информационных технологий, организующее техническое сопровождение системы и техническую защиту информации о персональных данных, обрабатываемой в Системе;
20. Доступ к системе авторизованных пользователей осуществляется на основании должностного регламента и в соответствии с ролевой матрицей доступа с применением средств идентификации и аутентификации.
21. Обязанности участников информационного взаимодействия в процессе использования Системы:
21.1. Кадровая служба обязана:
— проводить первичный инструктаж пользователей, предусматривающий ознакомление с правилами и мерами защиты конфиденциальной информации и персональных данных при работе с Системой;
— обеспечивать соблюдение конфиденциальности пользователями Системы персональных данных.
21.2. Финансовое подразделение обязано:
— проводить первичный инструктаж пользователей, предусматривающий ознакомление с правилами и мерами защиты конфиденциальной информации и персональных данных при работе с Системой;
— обеспечивать достоверность и актуальность сведений, включая расчётные, вносимых в систему пользователями подразделения в соответствии с эксплуатационной документацией к ней и регламентом работы, а в случае установления недостоверности сведений, обеспечивать их изменение;
— обеспечивать соблюдение конфиденциальности персональных данных пользователями Системы.
21.3. Управление по надзору в сфере информационных технологий Роскомнадзора обязано:
— обеспечить создание учётной записи пользователю и подключение его рабочего места к Системе;
— обеспечить уведомление пользователей о технологических перерывах в работе Системы не позднее, чем за 2 дня до их проведения;
— организовывать информационно-технологическую поддержку пользователей, защиту информации, циркулирующую в Системе и регистрацию инцидентов, связанных с перерывами в работе Системы.
21.4. Пользователи обязаны:
— обеспечить введение в Систему сведений в сроки, предусмотренные регламентом работы;
— обеспечивать достоверность и актуальность вводимых в Систему сведений;
— не разглашать учётные данные (логины и пароли) для доступа в Систему;
— обеспечивать соблюдение конфиденциальности персональных данных и безопасность персональных данных при их обработке.
22. Обеспечение информационной безопасности Системы осуществляется участниками в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспертному контролю от 18 февраля 2013 года N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
23. Защита информации в Системе обеспечивается с помощью комплекса программно-технических средств защиты и организационных мер по соблюдению требований к работе в Системе.
24. Система взаимодействует со следующими информационными системами:
— Федеральная государственная информационная система «Единая информационная система Федеральной службы по надзору в сфере связи и информационных технологий и массовых коммуникаций»;
— Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации;
— иными информационными системами в предусмотренных законодательством Российской Федерации случаях.
25. Информационно-технологическое взаимодействие Системы с внешними и смежными информационными системами осуществляется путём их интеграции посредством программной и/или технологической инфраструктуры, отправки запросов и получения ответов в электронном виде на основании согласованных форматов обмена данными между участниками обмена.
Приложение
к Положению об информационной системе
персональных данных «Автоматизированная
система кадровых служб Роскомнадзора на базе
ПО «1С: Зарплата и Кадры бюджетного учреждения 8»,
утверждённому приказом Роскомнадзора
от 29.12.2017 г.
Регламент работы пользователей АИС «1C: Зарплата и Кадры бюджетного учреждения 8» в целях обеспечения расчёта и начислений (удержаний) заработной платы
3. Целью настоящего регламента является разграничение ответственности и координация деятельности пользователей подразделений при осуществлении в Системе взаимосвязанных технологических операций (действий) в процессе расчёта и начисления заработной платы кадровому составу.
5. Ответственность конкретного пользователя Системы (персональная ответственность) за своевременное исполнение конкретной технологической операции (ввод в систему информации, проведение документа, формирование документа и прочее) закрепляется должностным регламентом.
6. Перечень взаимосвязанных технологических операций в Системе при расчёте и начислении заработной платы кадровому составу приведён в прилагаемой к настоящему регламенту Таблице.
7. Учёт и изменение информации о сотрудниках в содержащихся в Системе кадровых документах, включая штатное расписание с указанием информации о должностях и применяемых к ним стандартных начислениях зарплаты, и документах-отклонениях осуществляется пользователями кадрового подразделения.
8. Пользователи кадрового подразделения должны предоставлять по готовности в финансовое подразделение проведённые ими документы-основания (приказ, листок нетрудоспособности) в следующих случаях:
— приём на государственную службу (на работу);
— временное исполнение обязанностей;
— присвоение классного чина государственной гражданской службы Российской Федерации;
— установление или изменение надбавок к должностному окладу;
— оказание материальной помощи, единовременные выплаты (поощрение);
— изменение фамилии, имени, отчества;
— изменение служебного (рабочего) времени;
9. Пользователи финансового подразделения на основании проведённых документов-оснований формируют в Системе соответствующие расчётные документы.
10. Также пользователи бухгалтерского подразделения формируют расчётные документы о выплатах разового характера (премия, оплата праздничных и выходных дней, оплата сверхурочных часов) на основании соответствующих приказов и распоряжений, подготовленных и проведённых в Системе пользователями кадрового подразделения.
11. Пользователи бухгалтерского подразделения имеют право просмотра документов-оснований и корректировки документов-отклонений.
12. Результатом эффективного взаимодействия сотрудников подразделений является своевременный расчёт всех видов заработной платы в установленные сроки.
Распределение зон ответственности
Обзор документа
Представлено положение об Автоматизированной системе кадровых служб Роскомнадзора на базе ПО «1C: Зарплата и Кадры бюджетного учреждения 8».
Система предназначена для повышения эффективности работы кадровых служб. Она обеспечивает автоматизацию сбора, накопления и обработки информации о госслужащих и работниках ведомства и его территориальных органов.
Положение утверждено в рамках плана информатизации Роскомнадзора на 2017-2018 гг.
Персональные данные – «подводные камни» для бухгалтера.
В наш век тотальной компьютеризации вопросы информационной безопасности на предприятии в той или иной мере касаются практически всех сотрудников и подразделений. Особенно это касается ключевых подразделений, от которых напрямую зависит деятельность предприятия, и бухгалтерия является именно таким.
Многие бухгалтеры обслуживают одновременно несколько организаций. Это говорит о том, что сегодня работа бухгалтера стала гораздо проще и легче, чем несколько лет назад. Это связано с двумя моментами.
Дышать стало легче
С одной стороны, законодательство в бухгалтерской сфере существенно упростилось. Стало гораздо меньше форм отчетности и налоговых сборов, установленных государством. Появился Единый социальный налог, тогда как в 90-х взносы платились отдельно в каждый внебюджетный фонд: ФСС, ФОМС и т.д. Уменьшился объем отчетов по налогам с заработной платы. Раньше эти отчеты заполнялись от руки и сдавались в бумажном виде, ведь электронных способов взаимодействия с налоговыми органами еще не было. Банковские платежки приходилось набирать на пишущей машинке, везти в банк и стоять в очереди. Деньги контрагентам могли идти неделю.
Большим подспорьем в облегчении сегодняшней работы бухгалтера является компьютеризация. Современные технологии дают огромные возможности. То, что раньше казалось невозможным, сейчас воспринимается как данность.
Если раньше бухгалтеры совсем не пользовались глобальной информационной сетью Интернет, то сегодня Всемирная паутина позволяет специалистам общаться и обмениваться информацией в режиме онлайн, помогая быстро «набирать» компетенцию. Десятки тысяч бухгалтеров ежедневно посещают различные сайты бухгалтерской направленности и пользуются специализированными интернет-форумами.
Всего несколько лет назад оформление каждого документа и ручное ведение учета требовало достаточно много времени, и вести бухгалтерский учет с использованием компьютеров могли лишь немногие «продвинутые» специалисты. Сегодня вряд ли можно встретить бухгалтера, который не использует со-временные технологии. Многие специалисты не представляют свою работу не только без компьютера, но и без интернета, который является незаменимым инструментом в работе. Платежи, бухгалтерскую и налоговую отчетность теперь можно отправлять, не выходя из дома. Всего несколько лет назад это казалось чем-то фантастическим.
Обратная сторона медали
Однако, у этой приятной тенденции есть и отрицательный момент. Такая интеграция технологий с бухгалтерской сферой несет в себе не только новые возможности, но и новые угрозы, связанные с появлением возможностей утечки информации по каналам связи.
Данные, с которыми работает бухгалтер, можно условно разделить на две большие категории: информация, связанная с текущей деятельностью организации (базы данных контрагентов, подрядчиков, клиентов, данные о финансовых потоках и т.д.) и информация о сотрудниках организации.
Все прекрасно понимают, что информацию первой категории нужно хранить «как зеницу ока» потому, что их потеря, несанкционированное изменение или распространение приведет к репутационным и финансовым издержкам, что может стать непоправимым ударом для бизнеса. В случае подобного инцидента первым «под удар» попадает именно бухгалтер как лицо, работающее с этими данными.
Однако, одного только желания сохранить эту информацию «подальше от лишних глаз» недостаточно. Бывают случаи, когда руководитель, чтобы защитить активы своей фирмы, дает задание установить в бухгалтерии антивирусные средства, находясь в полной уверенности, что теперь его данные защищены. Это, мягко говоря, не так. В некоторых компаниях информационной безопасностью занимаются по остаточному принципу, либо вообще не осознают ее важности. Одним словом, данная сфера полностью отдана на откуп владельцев бизнеса.
Совсем по-другому дело обстоит со второй категорией информации. Мало того, что информация о сотрудниках (в правовом поле такая информация называется «персональные данные») нередко воспринимается как «второстепенная», которая «никому не нужна», некоторые работодатели не считают нужным позаботиться, чтобы эти данные не были распространены.
Под персональными данными в широком смысле можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных). Данное понятие введено Федеральным законом от 27.07.2006г. №152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Персональные данные сотрудников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п.1 ст.3 152-ФЗ).
Что и кому нужно делать?
Контроль за обеспечением защиты персональных данных государство взяло на себя. В соответствии со 152-ФЗ, на все организации, которые обраба-тывают персональные данные (в частности, своих сотрудников), возложена обязанность их защищать. Т.о., под действие данного закона подпадают все организации, в которых работает более одного сотрудника!
Регулятором в данной сфере был назначен Роскомнадзор. Ежегодно со-ставляется план проверок организаций на предмет соблюдения законодатель-ства (проверки проходят в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011г. №312). Отсут-ствие компании в плане – не повод расслабляться, так как проверки могут быть и внеплановыми. Клиент, сотрудник или просто «доброжелатель», чьи персо-нальные данные обрабатываются в организации, может обратиться в Роском-надзор за защитой своих прав, если, по его мнению, обработка происходит с нарушением. В этом случае назначается проверка, и представители регулято-ра, появившись на предприятии, особенно любят «заглядывать» в такие под-разделения, как бухгалтерия и кадры.
При этом, регулятор проверяет как документационное оформление (в компании должен быть подготовлен внушительный перечень документов и ут-серждающих приказов – Политика обработки персональных данных, Перечень лиц, допущенных к персональным данным, назначен ответственный и т.д.), так и сами процессы обработки персональных данных – с использованием инфор-мационных систем (например, информационная система 1С и ее «зарплатные» конфигурации) и без их участия (хранение документов на бумажных носите-лях).
На сегодняшний день уже не представляется возможным закрыть глаза на обеспечение защиты персональных данных потому, что установлены конкрет-ные виды ответственности за неисполнение законодательства в сфере защиты персональных данных.
За нарушение порядка получения, обработки, хранения и защиты персо-нальных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч.1 ст.24 152-ФЗ).
К дисциплинарной ответственности можно привлечь работников, которые обязаны соблюдать правила работы с персональными данными, но нарушили их (ст.192 ТК РФ) – например, сотрудника бухгалтерии, которому поручена соответствующая работа, и который совершил дисциплинарный проступок при обработке и хранении персональных данных. Наказание применяет работодатель, применив к нему одно из следующих взысканий (ч.1 ст.192 ТК РФ):
Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен ущерб (ст.238 ТК РФ). Предположим, работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Последние, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника ограниченную материальную ответственность в пределах его среднего месячного заработка (ст.241 ТК РФ), либо полную материальную ответственность, когда сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушением (ст. 242 и 243 ТК РФ). Но, как правило, на работников полную материальную ответственность не возлагают.
Дисциплинарную и материальную ответственность работодатель применяет исключительно по своему усмотрению. Регулятор в этом процессе участия не принимает.
За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов:
Отдельный штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет 4000-5000 рублей (ст.13.11 и 13.14 КОАП).
Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:
За такие нарушения допускаются следующие меры уголовной ответственности:
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:
Ответом на эти угрозы вызовы должно стать создание в компании адекватной системы защиты персональных данных – в первую очередь обрабатываемых в бухгалтерии и в кадрах. Это ряд организационных, физических и технических мероприятий, которые призваны свести к минимуму все риски.
Таким образом, чтобы работать спокойно, нужно выполнить как формальные условия защиты персональных данных (для регулятора), так и обеспечить реальную ее защиту в целях развития бизнеса и исключения инцидентов.
Скупой платит дважды
У компании есть три варианта действий:
1. Ничего не делать. Организация продолжает обрабатывать персональные данные, как и раньше, надеясь на «авось». Но, в случае проверки, если в фирме отсутствует даже видимость работ по защите персональных данных, можно ожидать самых строгих санкций. Отрицательный результат проверки подорвет репутацию компании, вызовет недоверие со стороны клиентов, партнеров и сотрудников, что приведет к оттоку клиентов, финансовым потерям и внесет нервозность в работу коллектива. Самым печальным может оказаться принудительная приостановка обработки персональных данных, что может привести к параличу работы.
2. Минимум затрат на защиту персональных данных. Формальный подход – «по-быстрому» разработать пакет нужных документов, но никаких реальных мероприятий не предпринимать. Такая видимость работ на некоторое время позволит избежать санкций со стороны регулятора, незначительно повысит шанс прохождения проверки, но не сделает его высоким. Так или иначе, информация останется незащищенной и уязвимой для злоумышленников.
3. Выполнение требований. В этом случае компания четко представляет, что выполнение требований закона решает вопросы прохождения проверок, реально повышает защищенность информационных активов, снижает риски поступления жалоб со стороны граждан и претензий со стороны регулятора.
Любитель или профессионал?
Представим, что решение о необходимости создания системы защиты персональных данных в компании принято. Во весь рост встает вопрос, кому доверить это важное дело. Хорошо, если в штате компании есть грамотные и опытные сотрудники, знающие толк в данной сфере. Но это большая редкость. Поэтому данный процесс лучше доверить профессионалам, и вот почему.
1. Тематика по защите персональных данных очень широка и разнообразна. Даже изучив необходимый массив документов, качественно спроектировать, построить, подобрать необходимые решения, внедрить их и осуществить настройку системы, не имея достаточно опыта за спиной, нереально.
2. В ходе проекта на каждом этапе необходимо строго выполнять требования, отраженные в законодательстве. 152-ФЗ является лишь верхушкой айсберга и отражет только общие положения по защите персональных данных. Чтобы разобраться во всех требованиях, необходимо изучить большой массив подзаконных актов (постановления, приказы, методические документы, стандарты и проч.). Решений этого вопроса может быть несколько:
– обучение собственных сотрудников (очень долго и достаточно затратно),
– найм специалистов с нужными знаниями (достаточно долго, очень затратно, невыгодно их держать после окончания проекта);
– приглашение сторонней организации для выполнения работ (предпочтительно с точки зрения времени и затрат).
3. Внедрение системы защиты персональных данных в среду компании повлияет на сложившийся порядок документооборота, информационных потоков и бизнес-процессов. В таких условиях встраивание новых решений не всегда встречает одобрение со стороны руководства и сотрудников компании. Для сохранения деловых отношений лучше, чтобы этой работой занимались специалисты сторонней компании.
Инжиниринговый центр «Региональные системы» обладает необходимым опытом, который позволяет при построении систем защиты персональных данных находить правильный баланс, когда стоимость системы минимизируется при сохранении требуемого уровня защищенности информационных активов предприятия. Мы занимается проектированием, внедрением и сопровождением систем защиты информации и знаем, как удовлетворить требования заказчика.
Наш профессионализм и опыт по проведению аудита информационной безопасности и защищенности персональных данных, проектирования и внедрения соответствующих систем позволит вашей компании уверенно смотреть в завтрашний день! Просто продолжайте заниматься любимым делом! А мы со-храним то, что для вас ценно!