Полная версия

Главная arrow Документоведение arrow Документационное обеспечение управления персоналом

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. В тоже время, персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные могут быть разного объема и характера, но они есть в любой организации, поэтому любая организация является оператором персональных данных.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Ограничения, накладываемые Конституцией РФ, определяют:

  • 1) достоинство личности охраняется государством. Ничто не может быть основанием для его умаления (ст. 21);
  • 2) каждый имеет право на свободу и личную неприкосновенность (ст. 22);
  • 3) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23);
  • 4) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ст. 24).

Поэтому в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования (гл. 14ТКРФ, ст. 85-90):

  • 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • 2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;
  • 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  • 4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
  • 5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
  • 6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
  • 7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств и в порядке, установленном федеральным законом;
  • 8) работники и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
  • 9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
  • 10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований законодательства. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • 1) не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
  • 2) не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • 3) предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
  • 4) осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под роспись;
  • 5) разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • 6) не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • 7) передавать персональные данные работника представителям работников в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Обработка персональных данных несовершеннолетних детей осуществляется только с письменного согласия родителей или других лиц, являющихся их законными представителями. Частью 6 ст. 9 Федерального закона «О персональных данных» установлено, что в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. Гражданская дееспособность гражданина возникает в полном объеме с наступлением совершеннолетия (ч. 1 ст. 21 ГК РФ). Согласно ч. 1 ст. 64 Семейного кодекса РФ родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

  • 1) на полную информацию об их персональных данных и обработке этих данных;
  • 2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • 3) определение своих представителей для защиты своих персональных данных;
  • 4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
  • 5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • 6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • 7) обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Наименование документа, устанавливающего порядок обработки персональных данных работников, а также документов об их правах и обязанностях в этой области (п. 8 ст. 86 ТК РФ), организация вправе установить самостоятельно, например: «Положение о защите персональных данных работников». ТК РФ требует, чтобы работники и их представители были ознакомлены с этим документом под роспись.

Наряду с названным локальным нормативным актом рекомендуется разработать форму обязательства о неразглашении персональных данных работника, так как лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности, о чем прямо сказано в ст. 88 ТК РФ.

В Положении о защите персональных данных работников следует: указать цель и задачи организации в области защиты персональных данных; раскрыть их понятие и состав; показать, в каких структурных подразделениях и на каких носителях информации накапливаются и хранятся эти данные. Важно отметить, каким образом осуществляется сбор персональных данных (п. 3 ст. 86 ТК РФ), кто в организации (по должностям) имеет к ним доступ, как обрабатываются и используются эти данные и как они защищены от несанкционированного доступа не только внутри организации, но и относительно представителей других организаций.

Необходимо учесть, что с 01.01.2011 все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны осуществить необходимые мероприятия по их защите в соответствии с Федеральным законом «О персональных данных».

Наряду с федеральными законодательными актами, требования защиты персональных данных работников содержатся в уставах, положениях и инструкциях некоторых органов исполнительной власти РФ и ее субъектов: постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; приказ Роскомнадзора от 16.07.2010 № 482 «Об утверждении образца формы уведомления об обработке персональных данных» (вместе с «Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных») и др.

Поэтому, несмотря на ст. 6 Федерального закона «О персональных данных», рекомендуется получить согласие с обработкой персональных данных от каждого работника, так как в любом случае будет иметь место передача персональных данных третьим лицам. Следовательно, необходимы и согласие работника на обработку персональных данных, и согласие на передачу персональных данных третьим лицам.

Для выполнения требований Федерального закона «О персональных данных» рекомендуется провести следующие предварительные мероприятия:

  • 1) выделить сотрудника (отдел), ответственного за обеспечение защиты персональных данных (назначить приказом);
  • 2) создать техническую комиссию по вопросам обеспечения защиты персональных данных (если аналогичный орган существует, то расширить его обязанности);
  • 3) отправить уведомление в уполномоченный орган (РКН);
  • 4) провести предварительную классификацию информационных систем персональных данных.

К дальнейшим стадиям создания системы защиты информационных систем персональных данных относят:

  • 1) проведение комплексного обследования информационных систем персональных данных (ИСПДн);
  • 2) разработка модели угроз безопасности;
  • 3) классификация ИСПДн;
  • 4) проектирование системы защиты информации;
  • 5) разработка организационно-распорядительной документации (ОРД);
  • 6) внедрение ОРД и технических средств согласно техническому рабочему проекту;
  • 7) подготовка к проведению оценки соответствия системы.

Необходимо отметить, что если операционная систем (ОС) организацией заявляется как средство защиты информации (СЗИ), то она должна быть сертифицирована. Все разрабатываемые (модернизированные) с начала 2011 г. ИСПДн уже должны соответствовать закону.

В аспекте информационной безопасности у информации выделяют три основных свойства:

  • 1) конфиденциальность — свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц (например, если вы отдали свои персональные данные в банк, то только уполномоченные сотрудники банка имеют к ней доступ);
  • 2) целостность — неизменность информации в процессе ее передачи или хранения (например, если при выдаче диплома о высшем образовании кто-то нарушил целостность информации и ваша фамилия напечатана с ошибками, диплом о высшем образовании потребует замены);
  • 3) доступность — свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц (например, при необходимости оплатить штрафы оператор сообщает, что база недоступна).

Типовые информационные системы персональных данных — системы, в которых необходимо обеспечивать только конфиденциальность персональных данных.

Специальные информационные системы персональных данных —

системы, в которых помимо конфиденциальности необходимо обеспечивать еще хотя бы одну из характеристик.

Из этих определений следует, что вряд ли найдется в природе типовая информационная система персональных данных. Даже если существуют примеры неких архивов, которые необходимо один раз записать, а в дальнейшем только хранить, то защита персональных данных и в этом случае будет подразумевать их целостность.

Таким образом, защита персональных данных подразумевает обеспечение конфиденциальности, целостности и доступности, а значит, все ИСПД являются специальными.

Следует отметить, что операторы персональных данных, не сумевшие выполнить требования по защите персональных данных, несут соответствующую гражданскую, административную, дисциплинарную и уголовную ответственность (ст. 24 Федерального закона «О персональных данных»). Так, например, публикация списков должников жилищно-коммунальных услуг (фамилия, имя, отчество, номер квартиры и сумма долга) будет прямым нарушением конфиденциальности персональных данных граждан и несоблюдением требований Федерального закона «О персональных данных».

Однако следует учитывать, что информационная безопасность, в том числе безопасность персональных данных, не должна осуществляться в урон бизнес-процессам. Поэтому следует рассмотреть несколько способов действий, допускаемым законодательством:

  • 1) из информационной системы персональных данных информация должна быть удалена в соответствии с требованиями закона. Но при этом возможно сохранить ее в личном деле и выполнить требования постановления Правительства от 15.09.2008 № 687 «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • 2) вместо удаления персональных данных клиентов обеспечить их обезличивание. Таким образом, возможно реализовать на программном уровне преобразование данных по определенному алгоритму в информацию отличную от персональных данных (присвоить уникальный идентификационный номер). Получается, что персональные данные в информационной системе в явном виде храниться не будут. В этом случае ключ шифрования или иной способ инициации дешифрования данных должен быть доступен только ограниченному, утвержденному документально списку лиц;
  • 3) в случае, когда нет возможности или желания применять первые два способа, возможно внедрить в организации Customer Relationship Management System (CRM-систему), которая предназначена для автоматизации стратегий взаимодействия с заказчиками компании, в частности, для повышения уровня продаж, оптимизации маркетинга и улучшения обслуживания клиентов путем сохранения информации о клиентах и истории взаимоотношений с ними. Однако для обработки персональных данных в CRM-системе вам необходимо будет взять с клиентов согласие на обработку их персональных данных в этой системе с указанием сроков хранения и целей обработки персональных данных, которые оператор должен определить самостоятельно с учетом требований законодательства.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>