Научная статья на тему 'КАК ОБЕСПЕЧИТЬ СООТВЕТСТВИЕ МОБИЛЬНОГО ПРИЛОЖЕНИЯ "ЛИЧНЫЙ КАБИНЕТ РАБОТНИКА" НА ГОСУДАРСТВЕННОМ ПРЕДПРИЯТИИ ЗАКОНУ "О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ"?'

КАК ОБЕСПЕЧИТЬ СООТВЕТСТВИЕ МОБИЛЬНОГО ПРИЛОЖЕНИЯ "ЛИЧНЫЙ КАБИНЕТ РАБОТНИКА" НА ГОСУДАРСТВЕННОМ ПРЕДПРИЯТИИ ЗАКОНУ "О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ"? Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
178
31
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МОБИЛЬНЫЕ ТЕХНОЛОГИИ / HR / ЦИФРОВИЗАЦИЯ УПРАВЛЕНИЯ ПЕРСОНАЛОМ / ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ / ЛИЧНЫЙ КАБИНЕТ РАБОТНИКА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Алферьева Ульяна Викторовна, Лагутина Евгения Евгеньевна

В данной статье описаны возможности применения мобильных разработок на предприятиях таким образом, чтобы не нарушались права граждан по защите их персональных данных. Актуальность разработки таких приложений значительно повысилась в период перевода работников на дистанционные формы работы, связанного с объявленной пандемией коронавируса. Статья содержит систематизацию возможностей мобильных приложений в плане интеграции коммуникаций работниками между собой, а также между работниками и работодателем. Авторами отражены особенности государственных предприятий в процессе разработки мобильных приложений, заключающиеся в том, что доступ к информационным базам является недоступным для внешних пользователей. В исследовании определены этапы разработки мобильного приложения, которые были выделены для исследуемого предприятия. Проведена характеристика нормативно правовых актов, регламентирующих правоотношения в сфере защиты персональных данных. Отражена последовательность действий, которую необходимо выполнить в соответствии с требованиями законодательства по обработке персональных данных, а также описаны виды ответственности при нарушении закона № 152 ФЗ «О персональных данных» от 27 июля 2006 года. Статья может представлять интерес для специалистов в сфере управления персоналом, планирующих разработку мобильных приложений для работников.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Алферьева Ульяна Викторовна, Лагутина Евгения Евгеньевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

HOW TO ENSURE COMPLIANCE WITH THE LAW "ON PROTECTION OF PERSONAL DATA" WHEN DEVELOPING A MOBILE APPLICATION "EMPLOYEE'S PERSONAL OFFICE" AT A STATE ENTERPRISE?

This article describes the mobile developments possibilities at enterprises in such a way that the citizens’ rights to protect their personal data are not violated. The relevance of such applications development has significantly increased during the workers’ transfer to remote work period, connected with the coronavirus pandemic. The article contains a systematization of the mobile applications capabilities in terms of integrating communications between employees, as well as between employees and the employer. The authors reflect the state-owned enterprises peculiarities in the mobile applications developing process, which consist in the fact that access to information databases is inaccessible to external users. The study identified the mobile application development stages, which were highlighted for the studied enterprise. The normative legal acts governing legal relations in the personal data protection sphere is carried out. The sequence of actions that must be performed in accordance with the legislation requirements on the personal data processing is reflected, as well as the liability types for violation of Law No. 152 FZ "On Personal Data" are described. The article may be of interest to HR-specialists who are planning to develop mobile applications for employees.

Текст научной работы на тему «КАК ОБЕСПЕЧИТЬ СООТВЕТСТВИЕ МОБИЛЬНОГО ПРИЛОЖЕНИЯ "ЛИЧНЫЙ КАБИНЕТ РАБОТНИКА" НА ГОСУДАРСТВЕННОМ ПРЕДПРИЯТИИ ЗАКОНУ "О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ"?»

Ссылка для цитирования этой статьи:

Алферьева У.В., Лагутина Е.Е. Как обеспечить соответствие мобильного приложения «личный кабинет работника» на государственном предприятии закону «О защите персональных данных»? // Human Progress. 2020, Том 6, Выпуск 4. C. 2. URL: http://progress-human.com/images/2020/Tom6_4/Alfereva.pdf, свободный. DOI 10.34709/IM.164.2

УДК 331.1

КАК ОБЕСПЕЧИТЬ СООТВЕТСТВИЕ МОБИЛЬНОГО ПРИЛОЖЕНИЯ «ЛИЧНЫЙ КАБИНЕТ РАБОТНИКА»

НА ГОСУДАРСТВЕННОМ ПРЕДПРИЯТИИ ЗАКОНУ «О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ»?

Алферьева Ульяна Викторовна

Магистрант ФГБОУ ВО «Уральский государственный экономический университет», инженер АСУП предприятия машиностроительной отрасли

[email protected] 62/45, ул. 8 Марта/Народной Воли г. Екатеринбург, РФ, 620144 +7 (343) 283-11-57

Лагутина Евгения Евгеньевна

кандидат экономических наук, доцент кафедра экономики труда и управления персоналом ФГБОУ ВО «Уральский государственный экономический университет»

[email protected] 62/45, ул. 8 Марта/Народной Воли г. Екатеринбург, РФ, 620144 +7 (343)283-11-57

Аннотация. В данной статье описаны возможности применения мобильных разработок на предприятиях таким образом, чтобы не нарушались права граждан по защите их персональных данных. Актуальность разработки таких приложений значительно повысилась в период перевода работников на дистанционные формы работы, связанного с объявленной пандемией коронавируса. Статья содержит систематизацию возможностей мобильных приложений в плане интеграции коммуникаций работниками между собой, а также между работниками и работодателем. Авторами отражены особенности государственных предприятий в процессе разработки мобильных приложений, заключающиеся в том, что доступ к информационным базам является недоступным для внешних пользователей. В

исследовании определены этапы разработки мобильного приложения, которые были выделены для исследуемого предприятия. Проведена характеристика нормативно правовых актов, регламентирующих правоотношения в сфере защиты персональных данных. Отражена последовательность действий, которую необходимо выполнить в соответствии с требованиями законодательства по обработке персональных данных, а также описаны виды ответственности при нарушении закона № 152 ФЗ «О персональных данных» от 27 июля 2006 года. Статья может представлять интерес для специалистов в сфере управления персоналом, планирующих разработку мобильных приложений для работников.

Ключевые слова: мобильные технологии; цифровизация управления персоналом; защита персональных данных; личный кабинет работника.

JEL коды: М 15; М 12.

Введение

В 2009 году Дмитрий Медведев сказал в Покрове на заседании комиссии по модернизации и технологическому развитию экономики России, что одной из приоритетных задач по развитию системы стратегических информационных технологий в стране является: «Внедрение современных информационных технологий, доступных качественных государственных услуг в этой сфере, расширение возможностей широкополосного доступа в Интернет - это главные показатели развития информационного общества сегодня в стране... В конечном счете - это вопросы того, насколько страна в целом современная, конкурентоспособная и комфортабельная для жизни граждан» (цитата ИТАР-ТАСС) [1].

Внедрение цифровых технологий в компании все чаще становится неотъемлемым требованием времени [2]. Современные технологии позволяют автоматизировать разнообразные процессы, это ведет к улучшению результатов деятельности предприятия. Использование цифровых технологий со временем приводит к экономии ресурсов [3], позволяет повысить качество, увеличивает скорость взаимодействия с клиентами. Технологии позволяют сохранять большие объемы информации. Дают возможность лучше хранить конфиденциальную информацию, не опасаясь несанкционированного проникновения [4]. Информацию можно получить мгновенно, когда это необходимо. Накопленные данные целесообразно использовать для изучения уже свершившихся событий и прогнозирования будущих [5].

Целью настоящей статьи является описание практического опыта создания мобильного приложения «личный кабинет работника» на государственном предприятии в строгом соответствии с законом «О защите персональных данных».

1. Этапы разработки мобильного приложения «Личный кабинет работника на государственном предприятии»

Применение мобильных технологий все чаще начинают использоваться организациями. Алгоритмы Google отражают это, поскольку они делают мобильные сайты приоритетными [6]. Мобильные решения можно рассматривать как:

-инструмент интеграции коммуникаций (работник-работник, работник-работодатель, работодатель-работник),

-шаг к цифровизации документооборота,

-инструмент управления бизнес-процессами.

Рассмотрим инструменты интеграции коммуникаций подробнее.

«Работник - работник» - сотрудники, используя единую платформу (читая новостную ленту предприятия, зная о предстоящих мероприятиях), будут находиться в курсе происходящих событий, знать стратегические цели компании, оперативные цели своего подразделения, коллег, собственные цели. Считается, что производительность труда в таких условиях значительно возрастает.

«Работник - работодатель» - сотрудники смогут:

-видеть данные о зарплате и расчетные листки (и подтвердить получение, то есть бухгалтеру не нужно будет распечатывать и раздавать их),

-подавать заявление на отпуск и контролировать остаток отпускных дней, -отправлять заявление об отсутствии на работе по личным и другим причинам, -своевременно сообщать отделу кадров об изменении своих данных, о новых документах, семейном положении и т.п., -запрашивать справки.

«Работодатель - работник» - работодатель может использовать мобильные решения чтобы:

-выполнять требования трудового законодательства (например, выполнение требований ст. 136 ТК РФ об обязательной выдаче расчетных листков).

-автоматизировать и оптимизировать работу таких служб, как HR службы (в том числе, упрощение процесса адаптации новых сотрудников), отдел бухгалтерии, отдел кадров и работу табельщиц;

-управлять бизнес-проектами (система проектного менеджмента)

-получать обратную связь от работников по интересующим вопросам (инструмент системы управления персоналом и повышения эффективности бизнес-процессов).

На какое предприятие пойдет работать ведущий специалист: на развивающееся, где применяются современные технологии, возникающие в результате четвертой промышленной революции, или на предприятие, использующее до сих пор технологии, созданные в результате третьей промышленной революции? Конечно же, он выберет предприятие, идущее в ногу с мировыми тенденциями. Разработка мобильных сервисов - это необходимость, которую предприятия должны использовать для развития успешного бизнеса [7].

Государственные предприятия относятся к особой категории предприятий, у которых доступ к информационным базам данным является «закрытым» для внешнего контура. Что усложняет разработку мобильных решений [8].

Выбранное нами предприятие относится к категории организаций, на которых вся информация передается через криптошлюзы во внешнюю среду или строго используется только во внутренней сети предприятия на компьютерах, без возможности выхода в сеть Internet. Пандемия коронавируса COVID-19 способствовала переводу сотрудников на дистанционную работу, поэтому, проанализировав необходимость и возможности, IT отдел предприятия совместно со службой HR предложил разработку мобильного приложения для работников, с обязательным требованием - соблюдение требований федерального закона №152 ФЗ «О персональных данных».

Рассмотрим основные этапы разработки проекта по созданию мобильного приложения для работников:

1. анализ документов, отражающих декларируемые цели, задачи, миссию и основные направления предприятия;

2. анализ локально-нормативных актов предприятия (оценка источников информации -Big data предприятия);

3. оценка информационного пространства и обратной связи на предприятии (оценка владения сотрудниками информацией о деятельности предприятия);

4. анализ списочного состава по возрасту/полу, распределение персонала по должностям, анализ причин увольнения персонала. Данный пункт необходим для анализа технической стороны проекта;

5. анализ уровня информированности сотрудников (о системе оплаты труда, о системе премирования, о корпоративных программах и т.п.);

6. анкетирование работников по набору сервисов, которыми они хотели бы пользоваться через личный кабинет;

7. анализ имеющихся программных продуктов с похожим функционалом на рынке информационных технологий;

8. изучение нормативных документов, регламентирующих защиту персональных данных, действующих на предприятии;

9. изучение законодательства РФ о защите персональных данных;

10. разработка проекта мобильного приложения:

10.1. составление требований к проекту (описание ролей пользователей, описание набора сервиса с учетом отображаемых персональных данных);

10.2. разработка организационных и технических решений, подлежащих реализации в рамках обеспечения соответствия закону о защите персональных данных (схема защищенной удаленной передачи данных с внутреннего сервера предприятия на мобильное приложение),

10.3. расчет экономической стоимости проекта;

11. презентация проекта руководству предприятия;

12. разработка технической документации на создание проекта;

13. программирование серверной части и интерфейсов личного кабинета;

14. тестирование и внедрение проекта.

2. Нормативно-правовое регулирование вопроса создания мобильного приложения «Личный кабинет работника на государственном предприятии»

Для осуществления проекта по созданию мобильного приложения для работников необходимо провести подробный анализ законодательства Российской Федерации о защите персональных данных [9].

К основным законодательным документам в области защиты персональных данных относятся:

-Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ со всеми изменениями;

-Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; -Постановление Правительства РФ от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;

-Постановление Правительства РФ от 20.08.2009 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-Приказ ФСТЭК России 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

-Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Одним из самых важных, сложных, долгих этапов разработки проекта оказался этап 10.2 - «разработка организационных и технических решений по защите персональных данных». На сегодняшний момент мы определили последовательность действий, необходимую к выполнению в соответствии с требованиями законодательства по обработке персональных данных [10]:

1. Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

2. Предпроектное обследование информационной системы - сбор исходных данных;

3. Классификация системы обработки персональных данных [11];

4. Построение частной модели угроз с целью определения их актуальности для информационной системы [12];

5. Разработка частного технического задания на систему защиты персональных данных;

6. Проектирование системы защиты персональных данных;

7. Реализация и внедрение системы защиты персональных данных;

8. Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований (на основе Постановления Правительства № 1119 от 01.11.2012);

9. Аттестация (сертификация) по требованиям безопасности информации;

10. Повышение квалификации сотрудников в области защиты персональных данных;

11. Сопровождение (аутсорсинг) системы защиты персональных данных.

Рассмотрим подробнее классификацию системы обработки персональных данных [11].

Определение уровня защищенности информационных систем персональных данных

производится операторами самостоятельно [13] в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. Это же Постановление

Правительства описывает требования по обеспечению безопасности персональных данных при их обработке в информационных системах согласно уровню защищенности.

С целью определения уровня защищенности целесообразно установить категории обрабатываемых персональных данных субъектов (физических лиц) по различным основаниям (см. табл. 1).

Табл. 1: Категории обрабатываемых персональных данных субъектов1

Номер группы, вида, категории, типа Понятие группы, вида, категории, типа

Категории обрабатываемых персональных данных

1 группа специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта

2 группа биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев

3 группа общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом

4 группа иные категории персональных данных (далее, ПДн), не представленные в трех предыдущих группах

По форме отношений

1 вид обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями)

2 вид обработка персональных данных субъектов, не являющихся работниками вашей организации

По количеству субъектов

1 категория менее 100 000 субъектов

2 категория более 100 000 субъектов

По типам актуальных угроз

1 тип связан с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в информационной системе персональных данных (далее, ИСПДн)

2 тип связан с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн

3 тип Не связан с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн

Далее определяется уровень защищенности персональных данных. Он может быть высоким, средним и низким. Более подробно можно ознакомится в источнике2.

Следующим шагом становится определения перечня требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных (см. Табл. 2).

1 Составлено авторами на основе обобщения нормативных актов

2 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Приказ от 18 февраля 2013 г. N 21. (с изменениями и дополнениями) [Электронный ресурс]. URL: http://www.consultant.ru/document/cons_doc_LAW_146520/ (дата обращения: 28.08.2020).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Табл. 2: Требования, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных3

Требования У ровни защищенности

1 2 3 4

Режим обеспечения безопасности помещений, где обрабатываются персональные данные + + + +

Обеспечение сохранности носителей персональных данных + + + +

Перечень лиц, допущенных к персональным данным + + + +

Средства защиты информации, прошедшие процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз) + + + +

Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДН + + + -

Ограничение доступа к содержанию электронного журнала сообщений + + - -

Автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника (оператора) по доступу к персональным данным + - - -

Структурное подразделение, ответственное за обеспечение безопасности персональных данных + - - -

Контроль за выполнением требований ПП-1119 (оператором или лицензиатом ФСТЭК не реже 1 раза в 3 года) + + + +

Аттестация информационных систем персональных данных на сегодняшний день носит добровольный характер и осуществляется по желанию владельца информационной системы. Если информационная система имеет статус муниципальной или государственной системы, то, в соответствии с приказом ФСТЭК России от 11.02.2013 г. № 17, аттестация обязательна.

Необходимо рассмотреть вопрос о вариантах ответственности [14] за нарушение закона о персональных данных (см. Табл. 3).

Табл. 3: Ответственность за нарушения требований 152-ФЗ «О персональных данных»4

Нарушение Санкция

Административное

Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных. Часть 1 ст. 13.11 КоАП РФ Штраф до 50 тыс. руб. (за каждый выявленный факт)

Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие. Часть 2 ст. 13.11 КоАП РФ Штраф до 75 тыс. руб. (за каждый выявленный факт)

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных. Часть 3 ст. 13.11 КоАП РФ Штраф до 30 тыс. руб.

Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Часть 4 ст. 13.11 КоАП РФ Штраф до 40 тыс. руб.

Невыполнение оператором в установленные сроки требования субъекта Штраф до 45 тыс. руб.

3 Составлено авторами

4 Составлено авторами на основе анализа Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 15.10.2020, с изм. от 16.10.2020); Уголовного кодекса Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 27.10.2020); Гражданского кодекса РФ от 30 ноября 1994 года N 51-ФЗ, Трудового кодекса РФ от 30.12.2001 N 197-ФЗ (ред. от 09.11.2020)

Нарушение Санкция

персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении. Часть 5 ст. 13.11 КоАП РФ

Уголовное

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ. Статья 137 Уголовного кодекса Штраф до 200 тыс. руб., лишение свободы на срок до 2-х лет

Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий. Статья 137 Уголовного кодекса Штраф до 300 тыс. руб., либо лишение свободы на срок до 5-ти лет

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование. Статья 272 УК РФ Штраф до 200 тыс. руб., либо лишение свободы на срок до 2-х лет

Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан. Статья 140 УК РФ Штраф до 200 тыс. руб.

Гражданско-правовое

Причинение лицу убытков в результате нарушения правил обработки его персональных данных. Статья 15 Гражданского кодекса Возмещение убытков

Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных. Статья 24 закона о персональных данных, ст. 151 ГК РФ Компенсация морального вреда

Дисциплинарное

Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей. Подпункт "в" п. 6 ч. 1 ст. 81 Трудового кодекса Увольнение

Иные нарушения в области персональных данных при их обработке. Статья 90, ст. 192 ТК РФ Замечание или выговор

Для соответствия требованиям Закона №152-ФЗ, в целях защиты от штрафов, успешного прохождения проверок Роскомнадзора необходимо подготовить следующий пакет документов на обработку персональных данных (см. Табл. 4) [15]:

Табл. 4: Документы, необходимые для обработки персональных данных [15]

п/п Наименование документа

1 Согласие на обработку персональных данных

2 Приказ о назначении ответственного за обработку

3 Политика конфиденциальности

4 Информированное согласие пользователя сайта

5 Положение об обработке и защите персональных данных

6 Последствия отказа предоставить персональные данные

7 Соглашение о неразглашении информации, содержащей персональные данные

8 Перечень форм, содержащих персональные данные

9 Правила рассмотрения запросов субъектов персональных данных

10 Правила осуществления внутреннего контроля

11 Модель угроз безопасности

12 Договор поручения на обработку персональных данных

13 Приказ о назначении ответственного за безопасность персональных данных

14 Приказ о хранении бумажных носителей персональных данных

п/п Наименование документа

15 Приказ об утверждении перечня персональных данных

16 Приказ о допуске к обработке персональных данных

17 Приказ об утверждении перечня ИСПДн

18 Приказ об определении контролируемой территории

19 Инструкция ответственного за организацию обработки персональных данных

20 Инструкция ответственного за обеспечение безопасности персональных данных

21 Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн

22 Инструкция по проведению инструктажа, допущенных к работе в ИСПДн

23 Инструкция пользователя ИСПДн

24 Инструкция по учёту и хранению съёмных носителей

25 Инструкция по резервному копированию и восстановлению

26 Инструкция по организации антивирусной защиты в ИСПДн

27 Инструкция пользователя при возникновении нештатной ситуации

28 Журнал учета запросов субъектов персональных данных

29 Журнал учета съемных носителей, содержащих персональные данные

30 Журнал учета прохождения первичного инструктажа работниками

31 Журнал регистрации нарушения и восстановления работоспособности

32 Журнал учёта прав доступа к ИСПДн

33 Журнал учёта средств защиты информации

34 Журнал учёта проверок контролирующими органами

35 Форма запроса о наличии и ознакомлении с персональными данными

36 Форма запроса на уточнение персональных данных

37 Форма запроса на уничтожение персональных данных

38 Форма запроса на блокирование персональных данных

39 Форма запроса с отзывом согласия на обработку персональных данных

40 Форма уведомления об устранении неправомерных действий с персональными данными

41 Форма уведомления об отказе внесения изменений в персональные данные субъекта

42 Форма уведомления органа по защите прав субъектов персональных данных

43 Акт определения уровня защищённости персональных данных

44 Акт оценки потенциального вреда субъектам персональных данных

45 Акт об уничтожении персональных данных

Заключение

В результате изучения зарубежного опыта [7], [13] и проведенных исследовательских мероприятий по разработке и внедрению мобильного приложения на предприятии можно заключить, что процесс этот весьма трудозатратный, и небезосновательно. Защита персональных данных является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба [16], чтобы обеспечить выполнение всех требований необходимо вложить немало сил и времени. Однако это разовая процедура, которая занимает много временных затрат на первоначальном этапе, в дальнейшем же понадобится только поддержание отлаженного процесса в актуальном состоянии, и своевременно вносить изменения по нововведениям в законодательстве. В то время как перспективы, которые открываются вследствие такой работы, позволят предприятию быть современным, конкурентоспособным, привлекательным для ведущих специалистов.

Литература

1. Медведев: Ситуация с информтехнологиями в России // Вести.ru. 31.08.2009. [Электронный ресурс] URL: https://www.vesti.ru/article/2182303 (Дата обращения: 01.11.2020).

2. Zhang, S.; Song, Y. Administrative law protection of personal information in the big data era // Basic & Clinical Pharmacology & Toxicology. 2020. Том 127. Специальный выпуск SI. Приложение 3. С.: 211-211.

3. Triola Torres, F.; Insua Berdun, M. Right to freedom of information versus protection of the right to privacy in information society. The new law on the protection of personal data and the right to be forgotten // Comunicacio-Revista de Recerca I D Analisi. 2019. Том 36. Вып. 1. С.: 117-131.

4. Heo, G.; Yang, D.; Doh, I.; с соавторами. Design of Blockchain System for Protection of Personal Information in Digital Content Trading Environment / Конференция: 34th International Conference on Information Networking (ICOIN): Barcelona, SPAIN, Jan 07-10, 2020. С.: 152-157.

5. Есауленко, А. Цифровая трансформация HR: личные кабинеты и электронная подпись // Директор информационной службы. 2017. № 07. [Электронный ресурс] URL: https://www.osp.ru/cio/2017/07/13052955/ (Дата обращения: 28.08.2020).

6. Жураковский, В. Информационные технологии и их использование в управлении бизнесом // vc.ru. 24.06.2019. [Электронный ресурс] URL: https://vc.ru/trade/72668-informacionnye-tehnologii-i-ih-ispolzovanie-v-upravlenii-biznesom (Дата обращения: 09.11.2020).

7. Da Veiga, A.; Vorster, R.; Li, F.; с соавторами. Comparing the protection and use of online personal information in South Africa and the United Kingdom in line with data protection requirements // Information and Computer Security. 2020. Том 28. Вып. 3. С.: 399-422.

8. Хованец, В.А.; Смолин, П.В. Адаптация информационных систем управления университетом требованиям закона О защите персональных данных // Доклады Томского государственного университета систем управления и радиоэлектроники. 2010. № 1-1 (21). С. 37-40.

9. Пыск, Д.А. Первый взгляд на закон О защите персональных данных // Проблемы науки. 2018. № 4 (28). С. 93-96.

10. Порядок действий по защите информационной системы персональных данных // ИС-ПДн.ру. Всё об информационных системах персональных данных [Электронный ресурс] URL: http://ispdn.ru/basis/524/,(дата обращения: 15.10.2020).

11. Как классифицировать информационную систему персональных данных // ИСПДн.ру. Всё об информационных системах персональных данных. [Электронный ресурс] URL: http://ispdn.ru/basis/522/#text_(дата обращения: 15.10.2020).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

12. Zhou Yuexin Cyber Protection of Personal Information in a Multi-Layered System // Tsinghua China Law Review. 2019. Том 12. Вып. 1. С.: 159-169.

13. Fu, T. China's personal information protection in a data-driven economy: A privacy policy study of Alibaba, Baidu and Tencent // Global Media and Communication. 2019. Том 15. Вып. 2. С.: 195-213.

14. Гильманшина, А.Л. Ответственность за нарушение закона О защите персональных данных // Теория и практика современной науки. 2018. № 9 (39). С. 88-91.

15. Документы по персональным данным необходимые в 2020 году // Legal BOX. [Электронный ресурс]. URL: https://legal-box.ru/152fz-docs (дата обращения: 07.11.2020).

16. Руденко, Д. Проблемы реализации закона О защите персональных данных // Юрисконсульт в строительстве. 2019. № 6. С. 23-27.

HOW TO ENSURE COMPLIANCE WITH THE LAW "ON PROTECTION OF PERSONAL DATA" WHEN DEVELOPING A MOBILE APPLICATION "EMPLOYEE'S PERSONAL OFFICE" AT A STATE ENTERPRISE?

Ulyana V. Alferyeva

master student of The Ural State University of Economics Yekaterinburg, Russia

Evgeniya E. Lagutina

Candidate of Economic Sciences, Associate Professor of the Labor Economics and HR-management Department in The Ural State University of Economics

Yekaterinburg, Russia

Abstract. This article describes the mobile developments possibilities at enterprises in such a way that the citizens' rights to protect their personal data are not violated. The relevance of such applications development has significantly increased during the workers' transfer to remote work period, connected with the coronavirus pandemic. The article contains a systematization of the mobile applications capabilities in terms of integrating communications between employees, as well as between employees and the employer. The authors reflect the state-owned enterprises peculiarities in the mobile applications developing process, which consist in the fact that access to information databases is inaccessible to external users. The study identified the mobile application development stages, which were highlighted for the studied enterprise. The normative legal acts governing legal

relations in the personal data protection sphere is carried out. The sequence of actions that must be performed in accordance with the legislation requirements on the personal data processing is reflected, as well as the liability types for violation of Law No. 152 FZ "On Personal Data" are described. The article may be of interest to HR-specialists who are planning to develop mobile applications for employees.

Key words: mobile technologies; HR-management; digitalization; personal data protection; employee's personal account.

JEL codes: M 15; M 12.

References

1. Medvedev: The situation with information technologies in Russia // Vesti.ru. 31.08.2009. URL: https://www.vesti.ru/article/2182303.

2. Zhang, S.; Song, Y. Administrative law protection of personal information in the big data era // Basic & Clinical Pharmacology & Toxicology. 2020. Vol. 127. SI. Appendix 3. P.: 211-211.

3. Triola Torres, F.; Insua Berdun, M. Right to freedom of information versus protection of the right to privacy in information society. The new law on the protection of personal data and the right to be forgotten // Comunicacio-Revista de Recerca I D Analisi. 2019. Vol. 36. Issue 1. P.: 117-131.

4. Heo, G.; Yang, D.; Doh, I.; et al. Design of Blockchain System for Protection of Per-sonal Information in Digital Content Trading Environment / In: 34th International Conference on Information Networking (ICOIN): Barcelona, SPAIN, Jan 07-10, 2020. P.: 152-157.

5. Esaulenko, A. Digital transformation of HR: personal accounts and electronic signature // Director of the information service. 2017. No. 07. URL: https://www.osp.ru/cio/2017/07/13052955/.

6. Zhurakovsky, V. Information technologies and their use in business management // vc.ru. 24.06.2019. URL: https://vc.ru/trade/72668-informacionnye-tehnologii-i-ih-ispolzovanie-v-upravlenii-biznesom.

7. Da Veiga, A.; Vorster, R.; Li, F.; et al. Comparing the protection and use of online personal information in South Africa and the United Kingdom in line with data protection re-quirements // Information and Computer Security. 2020. Vol. 28. Issue 3. P.: 399-422.

8. Khovanets, V.A.; Smolin, P.V. Adaptation of information management systems of the university to the requirements of the law on the protection of personal data // Reports of the Tomsk State University of Management Systems and Radioelectronics. 2010. No. 1-1 (21). P.: 37-40.

9. Pysk, D.A. First look at the law on the protection of personal data // Problems of Science. 2018. No. 4 (28). P.: 93-96.

10. Procedure for protecting the personal data information system // IS-PDn.ru. Everything about personal data information systems [Electronic resource] URL: http://ispdn.ru/basis/524/ (date of access: 15.10.2020).

11. How to classify the personal data information system // ISPDn.ru. Everything about personal data information systems. URL: http://ispdn.ru/basis/522/#text.

12. Zhou Yuexin Cyber Protection of Personal Information in a Multi-Layered System // Tsinghua China Law Review. 2019. Vol. 12. Issue 1. P.: 159-169.

13. Fu, T. China's personal information protection in a data-driven economy: A privacy policy study of Alibaba, Baidu and Tencent // Global Media and Communication. 2019. Vol. 15. Issue 2. P.: 195-213.

14. Gilmanshina, A.L. Responsibility for violation of the law on the protection of personal data // Theory and practice of modern science. 2018. No. 9 (39). P.: 88-91.

15. Documents on personal data required in 2020 // Legal BOX. URL: https://legal-box.ru/152fz-docs

16. Rudenko, D. Problems of the implementation of the law on the protection of personal data // Yuriskonsult in construction. 2019. No. 6. P.: 23-27.

Contact

Ulyana Alferyeva

Ural State University of Economics

62/45, 8 March st. / Narodnaya Volya, 620144, Yekaterinburg, Russia [email protected]

Evgeniya Lagutina

Ural State University of Economics

62-455, 8th of March Str., 620144, Yekaterinburg, Russia

[email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.