Представитель в Республике Карелия
Свободный доступ к продуктам
Свободный доступ

Бесплатная юридическая помощь здесь
Открыть в Кодекс (для получения более подробной информации)

Как работать с персональными данными с удаленных рабочих мест


Вопрос:

В связи с переводом части работников на дистанционную работу как обеспечить правомерный их доступ к аттестованной государственной информационной системе при работе с персональными данными для удалённых рабочих мест (ГИС СПБ "Единая карта петербуржца")?

Ответ:

При принятии решения по вопросу необходимо учитывать, что защиту информации, в том числе персональных данных (ПДн), содержащихся в государственной информационной системе Санкт-Петербурга "Единая карта петербуржца" (ЕКП), обеспечивает ее оператор - Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Те необходимые правовые, организационные и технические меры, которые должен принимать оператор при обработке персональных данных, поименованы в статье 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и приказе ФСТЭК России от 18.02.2013 N 21.

Обоснование:

В силу пунктов 1.3, 1.4 Положения о государственной информационной системе Санкт-Петербурга "Единая карта петербуржца", утв. постановлением Правительства Санкт-Петербурга от 27.07.2017 N 611, оператором государственной информационной системы Санкт-Петербурга "Единая карта петербуржца" (ЕКП) является Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Именно данное учреждение как оператор ЕКП осуществляет следующие полномочия:

обеспечивает сбор, хранение, обработку, предоставление и распространение информации, содержащейся в ЕКП;

обеспечивает доступ к информации, содержащейся в ЕКП;

обеспечивает защиту информации, в том числе персональных данных (ПДн), содержащихся в ЕКП, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

Следовательно, ПДн, содержащиеся в ЕКП, должны быть защищены оператором (работодателем) в том числе при необходимости работы с ними с удаленных рабочих мест (в частности, при дистанционной работе).

В силу частей 1, 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (см. также приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных");

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Если говорить об организации удаленных рабочих мест, со стороны работодателя может потребоваться обеспечение дистанционных работников программным обеспечением со встроенными механизмами защиты (или передача оборудования с уже установленным обеспечением), антивирусной защитой, организация доступа к информационным массивам персональных данных разрешительной системой доступа и т.д. Конкретный перечень мероприятий по организации возможности работникам работать удаленно определят IT-специалисты.

Рекомендуем также разработать и принять отдельный локальный акт о работе с персональными данными при дистанционном труде, ознакомив с ним сотрудников.

В акте пропишите: к каким системам работник получает доступ на период дистанционной работы; какие необходимые меры защиты (правовые, организационные и технические) обеспечит оператор-работодатель при обработке персональных данных; какие обязанности несет сам работник, допущенный к персональным данным (пересылка файлов в зашифрованном виде, обезличивание при необходимости персональных данных и т.д.); ответственность работника за нарушение порядка работы с персональными данными; порядок реагирования работника в случае выявления несанкционированного доступа к персональным данным при дистанционной работе, и другие вопросы (по необходимости).

Служба поддержки пользователей систем "Кодекс"/"Техэксперт"
Эксперт Лисицкая Ольга Сергеевна

Кодекс и Техэксперт. Карелия

Продукты Кодекс

Продукты Техэксперт

Контакты

  • телефон: +7 (814-2) 67-01-29
  • 185000 Россия, Республика Карелия,
    Петрозаводск,
    ул. М. Горького, 25,
    ООО Кодекс ИТ
  • Почта: office@kodeks.karelia.ru

 



 

Яндекс.Метрика     Астрономическая обсерватория ПетрГУ     Институт экономики и права    
  
   © 2024 Кодекс ИТ