Защита персональных данных работника

Как уже отмечалось, из этих документов работодатель может почерпнуть информацию о фамилии, имени, отчестве работника, его возрасте, дате и месте рождения, месте жительства, о наличии или отсутствии у него детей, семейных обязанностей, о трудовом стаже, регистрации в системе государственного пенсионного страхования, состоянии на воинском учете, об образовании, квалификации, наличии специальных знаний и т.д.

 

2. Порядок работы  с конфиденциальными сведениями  о работнике

 

Конфиденциальными называются документы, содержащие сведения, известные только определенному кругу лиц, не подлежащие огласке, доступ к которым ограничен.

К конфиденциальным относятся документы, имеющие гриф ограничения доступа: «конфиденциально», «коммерческая тайна», «для служебного пользования».

Законодательством РФ предусмотрена ответственность за несанкционированный доступ, разглашение или продажу сведений, имеющих подобные грифы.

Сотрудники, допущенные к конфиденциальным документам, должны пройти инструктаж и ознакомиться с инструкцией по работе с конфиденциальными документами.

Организация делопроизводства, обеспечивающего сохранность и учет конфиденциальных документов, предусматривает:

-назначение должностного  лица, ответственного за их учет, хранение и использование;

-порядок подготовки и  размножения документов;

-отдельную регистрацию  документов;

-формирование дел;

-организацию выдачи и  хранения документов;

-проверку наличия документов;

-архивное хранение и  порядок уничтожения.

Отпечатанные и подписанные документы передаются для регистрации должностному лицу, ответственному за их учет. Черновики, варианты документа, файлы уничтожаются с подтверждением факта уничтожения записью на копии документа.

Размножение конфиденциальных документов производится:

-с разрешения руководства  предприятия;

-с ограниченным количеством  копий;

-в специально выделенном  помещении;

-в присутствии должностного  лица, ответственного за документ;

-с немедленным уничтожением  бракованных копий.

Конфиденциальные документы должны регистрироваться отдельно от остальной документации в «Журнале регистрации конфиденциальных документов».

Листы журналов регистрации нумеруются, прошиваются, опечатываются, указывается их общее количество (цифрами и прописью) в заверительном листе.

Все поступающие конфиденциальные документы принимаются и вскрываются специально назначенным должностным лицом.

При поступлении проверяется: количество листов; количество экземпляров; наличие приложений к документу.

Конфиденциальные документы формируются в отдельное дело, которое должно иметь: гриф ограничения доступа; список сотрудников, имеющих право пользоваться этим делом; нумерацию листов; внутреннюю опись документов; заверительный лист.

Хранение дел с конфиденциальными документами производится в опечатываемом сейфе, в специально отведенном помещении, оснащенном средствами охраны.

Выдача и возврат конфиденциальных документов должны отражаться в «Журнале учета выдачи конфиденциальных документов».

При выдаче документа сверяется номер документа с номером в журнале; сверяется количество листов; ставится подпись получателя документа и дата.

При возврате документа сверяется номер документа с номером в журнале; сверяется количество листов; ставится отметка о возврате; ставится подпись получателя документа и дата возврата.

Запрещается:

-изъятие конфиденциальных  документов из дел;

-перемещение их одного  дела в другое без разрешения  руководства и отметок в «Журнале  учета выдачи конфиденциальных  документов»;

-несанкционированный вынос  конфиденциальных документов из  офиса. Конфиденциальный документ  личный состав регистрационный  индекс.

Проверка наличия конфиденциальных документов проводится с целью обеспечения их сохранности; предотвращения утечки конфиденциальной информации.

При установлении факта утраты конфиденциального документа:

-ставится в известность  руководитель предприятия:

-служба безопасности;

-принимаются меры к  розыску документа.

На утерянный документ составляется акт, вносится соответствующая отметка об утрате в «Журнале регистрации конфиденциальных документов».

Экспертная комиссия предприятия ежегодно отбирает конфиденциальные документы для архивного хранения или уничтожения.

Архивное хранение конфиденциальных документов производится в опечатанных коробках, в помещениях, исключающих несанкционированный доступ.

Уничтожение конфиденциальных документов производится с составлением акта, утверждаемого руководителем предприятия; в присутствии комиссии; с помощью специальной машины (шредера) или иным способом, исключающим возможность восстановления имеющейся в них информации.

 

2.1 Работа кадровой  службы с персональными данными

 

Специфика защиты персональных данных лиц, осуществляющих свою профессиональную деятельность на основании трудового договора, проявляется в том, что основополагающие требования по обработке персональных данных устанавливаются нормами федерального законодательства, а порядок осуществления отдельных операций с персональными данными работника (сбор, хранение, использование, распространение) может детализироваться в локальных правовых актах. В соответствии с абз. 7 ч. 1 ст. 22 ТК РФ за работодателями закреплено право принимать локальные нормативно-правовые акты, в которых могут быть отражены вопросы защиты конфиденциальной информации.

Одним из таких локальных нормативно-правовых актов является Положение о персональных данных. Положение определяет основные требования к порядку получения, хранения, комбинирования, передачи или любого другого использования персональных данных работника в связи с трудовыми отношениями в организации.

Разработка и использование эффективной системы обеспечения безопасности персональных данных работников является одной из важных частей системы управления безопасностью персонала, системы охраны жизни и здоровья работников.

Основным документом, регламентирующим отношения между работодателем и работником, является трудовой договор, при заключении которого следует учитывать положения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Он вступил в силу с 1 января 2007 года и регулирует отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти РФ и ее субъектов, а также юридическими и физическими лицами с использованием средств автоматизации и без них. Цель этого закона - защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно ст. 2 Закона о персональных данных любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе:

-фамилия, имя, отчество;

-год, месяц, дата и место  рождения;

-адрес;

-семейное, социальное, имущественное  положение;

-образование;

-профессия;

-доходы и другая информация, признаются персональными данными.

Этот перечень не является закрытым - в него можно включить практически все сведения о работнике, которые получает работодатель.

Помимо этого ст. 10 и 11 Закона о персональных данных установлены специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся:

-расовой, национальной принадлежности;

-политических взглядов, религиозных  или философских убеждений;

-состояния здоровья, интимной  жизни физического лица, а также  биометрические персональные данные - сведения, характеризующие физиологические  особенности человека.

 

2.2 Принципы и  условия обработки информации

 

Обработка персональных данных включает все действия и операции с ними, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение. Согласно закону это обычные хозяйственные операции учреждения, с которыми часто сталкивается как руководитель, так и бухгалтерская служба.

В соответствии с п. 1 ст. 6 Закона о персональных данных обработка данных возможна только с согласия работника. Поэтому при оформлении сотрудника на работу необходимо получить от него письменное заявление о согласии на обработку данных. В таком заявлении работник в обязательном порядке должен сообщить:

-фамилию, имя, отчество, свой  адрес, номер документа, удостоверяющего  личность, сведения о дате выдачи  и органе, его выдавшем;

-наименование и адрес  учреждения, которое получило согласие  на использование персональных  данных;

-цель обработки данных;

-перечень персональных  данных, на обработку которых  согласен работник;

-перечень действий, на  которые дается согласие, общее  описание используемых учреждением  способов обработки сведений;

-срок, в течение которого  действует согласие, а также порядок  его отзыва (п. 4 ст. 9 Закона о персональных  данных).

Представим образец заявления работника (см. приложение).

В процессе трудовой деятельности любой работник может столкнуться с пристальным вниманием со стороны злоумышленников или конкурентов - как своих, так и конкурентов организации, в которой он работает. Статья посвящена вопросам обеспечения безопасности персонала на основе защиты персональных данных работников.

Безопасность собственного персонала - это одно из тех направлений, которое должно быть обеспечено организацией в первую очередь.

Безопасность персонала - это состояние защищенности работников - самого важного ресурса предприятия - от внешних и внутренних угроз, нанесения материального, морального или физического вреда в результате случайных или преднамеренных действий.

Управление безопасностью персонала является сложной проблемой, которая представляет собой управление комплексом организационных и технических мероприятий, снижающих угрозы безопасности персонала на предприятиях.

Приведем примерный перечень некоторых потенциальных угроз персоналу:

-прямое переманивание  конкурентами ведущих руководителей  и специалистов;

-вербовка сотрудников  конкурирующими и криминальными  структурами, а в отдельных случаях - правоохранительными органами;

-шантаж или прямые угрозы  в адрес конкретных сотрудников  с целью склонения их к нарушению  доверия со стороны работодателя (т.е. к совершению различных должностных  нарушений);

-покушения на сотрудников (прежде всего высших руководителей) и членов их семей.

Подобные угрозы могут быть реализованы в любой организации и по отношению к любому сотруднику, к которому по той или иной причине появился интерес со стороны злоумышленников. Осуществление подобных угроз возможно за счет знания злоумышленниками персональной информации, личных специфических данных о работнике.

Работа кадровых служб всегда связана с накоплением, формированием, обработкой и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к персональным данным, которые по своей сути отражают личную и семейную тайну работников, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа. Бесконтрольное распространение персональных данных может нанести значительный ущерб как физическому лицу - субъекту персональных данных, так и организации, в стенах которой произошла утечка конфиденциальной информации.

В организации защиты персональных данных на локальном уровне особое внимание должно быть уделено элементарным требованиям по правильной, грамотной, квалифицированной кадровой работе, профессиональному уровню подготовки и информационно-правовой культуре сотрудников кадровых подразделений. Несоблюдение сотрудниками кадровых подразделений организационных условий, направленных на защиту персональных данных работников, может способствовать образованию каналов утечки конфиденциальной информации.

 

2.3 Основные аспекты  передачи персональных данных  работника и защита информации  при работе с персональными  данными на ЭВМ

 

Установленные в ст. 86 ТК РФ общие требования при обработке персональных данных работника призваны обеспечивать безопасное хранение и использование работодателем конфиденциальной информации о работниках. Основное назначение этих требований - обеспечение соблюдения конституционных прав работников на неприкосновенность персонифицированных сведений о них. Эти общие требования работодатель должен знать и учитывать прежде всего при разработке правил их получения, обработки, хранения, использования, передачи третьим лицам.

Возложив на работодателя обязанность разработать и ввести в действие указанные правила, ст. 87 ТК РФ определила, что эти правила устанавливаются работодателем с соблюдением требований Трудового кодекса Российской Федерации и иных федеральных законов. Они должны обеспечивать соблюдение законодательства при хранении персональных данных работника, недоступность этих сведений для лиц, которые не имеют допуска к работе с документами и другими источниками информации о личности работника.

Все документы и материалы, содержащие персональные данные работника, в своей совокупности образуют его личное дело. В него помещаются заявление работника о приеме на работу, его анкета, копии документов об образовании, квалификации, приказ (распоряжение) о принятии на работу, экземпляр трудового договора, все предусмотренные нормативными актами стандартные унифицированные формы первичной учетной документации по кадровой работе и по учету труда и его оплаты. В дело помещается также заявление работника об увольнении, материалы, явившиеся основанием расторжения трудового договора или его прекращения, приказ (распоряжение) работодателя, которым прекращены трудовые отношения с работником.