Как работать с персональными данными с удаленных рабочих мест

Вопрос:

В связи с переводом части работников на дистанционную работу как обеспечить правомерный их доступ к аттестованной государственной информационной системе при работе с персональными данными для удалённых рабочих мест (ГИС СПБ "Единая карта петербуржца")?

Ответ:

При принятии решения по вопросу необходимо учитывать, что защиту информации, в том числе персональных данных (ПДн), содержащихся в государственной информационной системе Санкт-Петербурга "Единая карта петербуржца" (ЕКП), обеспечивает ее оператор - Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Те необходимые правовые, организационные и технические меры, которые должен принимать оператор при обработке персональных данных, поименованы в статье 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и приказе ФСТЭК России от 18.02.2013 N 21.

Обоснование:

В силу пунктов 1.3, 1.4 Положения о государственной информационной системе Санкт-Петербурга "Единая карта петербуржца", утв. постановлением Правительства Санкт-Петербурга от 27.07.2017 N 611, оператором государственной информационной системы Санкт-Петербурга "Единая карта петербуржца" (ЕКП) является Санкт-Петербургское государственное казенное учреждение "Центр информационного сопровождения". Именно данное учреждение как оператор ЕКП осуществляет следующие полномочия:

• обеспечивает сбор, хранение, обработку, предоставление и распространение информации, содержащейся в ЕКП;
• обеспечивает доступ к информации, содержащейся в ЕКП;
• обеспечивает защиту информации, в том числе персональных данных (ПДн), содержащихся в ЕКП, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

Следовательно, ПДн, содержащиеся в ЕКП, должны быть защищены оператором (работодателем) в том числе при необходимости работы с ними с удаленных рабочих мест (в частности, при дистанционной работе).
В силу частей 1, 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (см. также приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных");
3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5. учетом машинных носителей персональных данных;
6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Если говорить об организации удаленных рабочих мест, со стороны работодателя может потребоваться обеспечение дистанционных работников программным обеспечением со встроенными механизмами защиты (или передача оборудования с уже установленным обеспечением), антивирусной защитой, организация доступа к информационным массивам персональных данных разрешительной системой доступа и т.д. Конкретный перечень мероприятий по организации возможности работникам работать удаленно определят IT-специалисты.

Рекомендуем также разработать и принять отдельный локальный акт о работе с персональными данными при дистанционном труде, ознакомив с ним сотрудников.

В акте пропишите: к каким системам работник получает доступ на период дистанционной работы; какие необходимые меры защиты (правовые, организационные и технические) обеспечит оператор-работодатель при обработке персональных данных; какие обязанности несет сам работник, допущенный к персональным данным (пересылка файлов в зашифрованном виде, обезличивание при необходимости персональных данных и т.д.); ответственность работника за нарушение порядка работы с персональными данными; порядок реагирования работника в случае выявления несанкционированного доступа к персональным данным при дистанционной работе, и другие вопросы (по необходимости).

Служба поддержки пользователей систем "Кодекс"/"Техэксперт"
Эксперт Лисицкая Ольга Сергеевна