28 января – Международный день защиты персональных данных. Впервые вопрос о защите персональных данных был поставлен в 1981 году. 28 января 1981-го Совет Европы открыл для подписания Конвенцию «О защите лиц в связи с автоматизированной обработкой персональных данных».
Также приватность личной информации охраняется статьей 8 Европейской конвенции по правам человека, а в России – Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Основными принципами обработки и защиты персональных данных, которые были предложены Конвенцией, стали законность и добросовестность получения и обработки персональных данных, а также их хранение для определенных и законных целей; запрет на использование вопреки этим принципам.
Помимо защиты личной информации важна и охрана корпоративных данных. Рассказываем о пяти универсальных пунктах.
1. Разграничение доступа к информации. Первое и наиболее важное действие – разграничение доступа таким образом, чтобы каждый сотрудник владел только той информацией, которая требуется ему для работы. А в случае, если её будет недостаточно – мог обратиться за помощью к коллеге.
2. Условия в трудовом договоре. Если сотрудник будет использовать для работы личный смартфон, то возможно прописать условия в трудовом договоре и должностной инструкции. Важна грамотная формулировка. Например: «Работник имеет право использовать личные устройства для выполнения рабочих задач при соблюдении следующих условий…».
Сами условия прописываются дополнительным соглашением или приложением к основному трудовому договору.
3. Подписание соглашения о неразглашении (NDA – non-disclosure agreement). Этот документ регламентирует доступ частного лица к закрытой информации компании. Заключаться такое соглашение может как с сотрудником компании, так и с подрядчиком (его сотрудником) или исполнителем работ.
Человек, получивший от компании данные для работы, не только воздерживается от разглашения, но и принимает все меры против их утечки по любой причине. В случае возникновения такой ситуации, ответственность может быть практически любой, вплоть до покрытия убытков компании.
4. Инструкции для сотрудников. Инструктаж необходим в том случае, если сотрудник не понимает ценности данных компании и своей ответственности за их сохранность. В этом случае, стоит повторно (даже, если было подписано соглашение о неразглашении) рассказать о мерах по защите данных и указать на ответственность за пренебрежение ими, а также ответить на вопросы.
5. Техническая сторона информационной безопасности. Когда все сотрудники осведомлены о том, как нужно работать с корпоративными данными, имеет смысл приступить к настройке средств их охраны. Например, комплексной системы информационной безопасности, которая защищает офисную сеть, удаленные устройства сотрудников (ноутбуки, планшеты и другие).
Задумайтесь и о мерах контроля доступа в офисные помещения: пропускном режиме, мониторинге локальной сети, организации видеонаблюдения и прочих сторонах обеспечения безопасности внутри компании.
В каких случаях эта система может не работать?
* NDA редко работает на Российском рынке – доказать вину сотрудника практически невозможно.
* Вы не имеете права доступа к личному оборудованию ваших сотрудников даже если они используют его в рабочих целях.
* Халатное отношение к правилам и нормам безопасности и нелояльность сотрудников.
Отношение к данным компании заложено в корпоративной культуре. Безопасность информации начинается со сфер подбора кадров и документооборота, качественной системы информационной безопасности и человеческих отношений. Их взаимодействие обеспечивает не только сохранение информации на компьютере, но и внутри всей системы компании.