Как работать с персональными данными с удаленных рабочих мест

     Вопрос:
     

     В связи с переводом части работников на дистанционную работу как обеспечить правомерный их доступ к аттестованной государственной информационной системе при работе с персональными данными для удалённых рабочих мест (ГИС СПБ "Единая карта петербуржца")?
     
     

     Ответ:
     

     При принятии решения по вопросу необходимо учитывать, что защиту информации, в том числе персональных данных (ПДн), содержащихся в государственной информационной системе Санкт-Петербурга "Единая карта петербуржца" (ЕКП), обеспечивает ее оператор - Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Те необходимые правовые, организационные и технические меры, которые должен принимать оператор при обработке персональных данных, поименованы в статье 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и приказе ФСТЭК России от 18.02.2013 N 21.
     

     Обоснование:
     

     В силу пунктов 1.3, 1.4 Положения о государственной информационной системе Санкт-Петербурга "Единая карта петербуржца", утв. постановлением Правительства Санкт-Петербурга от 27.07.2017 N 611, оператором государственной информационной системы Санкт-Петербурга "Единая карта петербуржца" (ЕКП) является Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Именно данное учреждение как оператор ЕКП осуществляет следующие полномочия:
     

     обеспечивает сбор, хранение, обработку, предоставление и распространение информации, содержащейся в ЕКП;
     

     обеспечивает доступ к информации, содержащейся в ЕКП;
     

     обеспечивает защиту информации, в том числе персональных данных (ПДн), содержащихся в ЕКП, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
     

     Следовательно, ПДн, содержащиеся в ЕКП, должны быть защищены оператором (работодателем) в том числе при необходимости работы с ними с удаленных рабочих мест (в частности, при дистанционной работе).
     

     В силу частей 1, 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
     

     Обеспечение безопасности персональных данных достигается, в частности:
     

     1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
     

     2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (см. также приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных");
     

     3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
     

     4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
     

     5) учетом машинных носителей персональных данных;
     

     6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
     

     7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
     

     8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
     

     9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
     

     Если говорить об организации удаленных рабочих мест, со стороны работодателя может потребоваться обеспечение дистанционных работников программным обеспечением со встроенными механизмами защиты (или передача оборудования с уже установленным обеспечением), антивирусной защитой, организация доступа к информационным массивам персональных данных разрешительной системой доступа и т.д. Конкретный перечень мероприятий по организации возможности работникам работать удаленно определят IT-специалисты.
     

     Рекомендуем также разработать и принять отдельный локальный акт о работе с персональными данными при дистанционном труде, ознакомив с ним сотрудников.
     

     В акте пропишите: к каким системам работник получает доступ на период дистанционной работы; какие необходимые меры защиты (правовые, организационные и технические) обеспечит оператор-работодатель при обработке персональных данных; какие обязанности несет сам работник, допущенный к персональным данным (пересылка файлов в зашифрованном виде, обезличивание при необходимости персональных данных и т.д.); ответственность работника за нарушение порядка работы с персональными данными; порядок реагирования работника в случае выявления несанкционированного доступа к персональным данным при дистанционной работе, и другие вопросы (по необходимости).
     
     

Служба поддержки пользователей систем "Кодекс"/"Техэксперт"
     Эксперт Лисицкая Ольга Сергеевна