Организационные меры — это правила, процедуры и регламенты, которые обеспечивают правильную работу с персональными данными внутри компании. Они дополняют технические меры и обязательны для выполнения требований законодательства.

Доступ по ролям

Смысл в том, что не каждый сотрудник должен видеть все данные. Доступ дают только к тем сведениям, которые нужны для работы.

Пример:

• Администратор IT видит настройки системы, но не имеет права просматривать медицинские данные клиентов.
• Менеджер по продажам видит контакты клиентов, но не видит их паспортные данные.
• Аналитик работает только с обезличенной статистикой.

Что нужно делать:

1. Разделить сотрудников на категории: администраторы, операторы, аналитики и т.д.
2. Давать доступ только к нужной информации (принцип «минимальных прав»).
3. Раз в квартал проверять, кто к чему имеет доступ.
4. При увольнении или переводе в другую должность — сразу блокировать доступ.

Журналы операций (логи)

Нужно записывать все действия с данными, чтобы потом можно было понять, кто и что делал, в случае проблемы или утечки.

Пример:

• В логах видно, что 15 ноября оператор Иванов скачал файл с данными 100 клиентов.
• Система зафиксировала, что сотрудник пытался открыть файл, к которому у него нет прав.

Что нужно делать:

1. Записывать дату и время, имя пользователя, тип операции и какие данные использовались.
2. Хранить эти записи в защищенном виде, чтобы никто не мог их подделать.
3. Раз в месяц анализировать логи, чтобы найти странные или подозрительные действия.
4. Фиксировать и расследовать попытки несанкционированного доступа.

Обучение персонала

Персонал, работающий с персональными данными, должен знать требования законодательства и внутренние правила организации. Даже самая лучшая система защиты не поможет, если сотрудники не знают, как правильно работать с данными.

Примеры:

• Сотрудник случайно отправил паспорт клиента в общий чат — из-за незнания правил.
• Менеджер открыл подозрительное письмо и заразил компьютер вирусом.

Что нужно делать:

1. Проводить инструктажи и тренинги по защите данных минимум раз в год.
2. Информировать сотрудников о новых угрозах и способах защиты (например, фишинг‑атаки).
3. Давать каждому сотруднику внутренние инструкции по работе с ПДн под роспись.
4. Проверять знания — тесты, аттестация, опросы.

Задание. Проверьте по чек-листу, все ли зоны в вашем бизнесе закрыты