Правовые меры по защите персональных данных кадровой службы

Поэтому, анализируя законодательство Российской Федерации по защите персональных данных и внутренний документ объекта исследования, постараемся разработать документ, помогающий правильно обеспечить защиту персональных данных муниципальных служащих.

Составление какого-либо документа очень ответственное задание, которое требует определенных знаний, навыков и умений. Для начала стоит определить какой именно документ нам необходимо составить, на что будет направленно его действия, какие задачи будут рассматриваться. Стоит так же учесть такой факт, что внутренний документ не должен противоречить внутренним нормативным актам организации, а также законодательству Российской Федерации.

Помимо этого, в документе не должно быть положений ухудшающих положение сотрудников организации.

Как уже отмечалось, локальный акт, определяющий порядок сбора, обработки, хранения и использования персональных данных работников в организации, есть. Он направлен на работу с документами и теми персональными данными, которые работник сообщает о себе при трудоустройстве на работу. Стоит отметить, что работодателем на нашем предприятии является директор кадровой службы - это право предоставлено ему на основании доверенности. Директор кадровой службы является непосредственным начальником отдела кадров, то есть получается, что все необходимые данные о работнике предоставляются в отдел кадровой службы.

После оформления всех необходимых документов в отделе кадров работник направляется на свое рабочее место, а так как предприятие крупное, то в структурных подразделениях, служащий снова предоставляет свои данные.

Так вот что бы структурные подразделения могли правильно обеспечивать защиту, полученную ими информацию, мы разработаем такой документ - «Положение о защите персональных данных работников в администрации города Братска».

В структурных подразделениях заполняются личные карточки, хотя они и утратили свою юридическую силу, в структурных подразделениях они до сих пор существуют и значительно облегчают работу ответственным за ведение табельного учета (табельщикам, инспекторам табельного учета). На данных, содержащихся в карточках, составляются различные списки так же с содержанием персональных сведений.

Из вышесказанного, можно сделать следующий вывод, что Положение о защите персональных данных необходим для того, что бы правильно работать с документами, содержащими персональные данные. А так же регламентировать работу с документами, содержащими персональные данные сотрудников.

Итак, наш документ не должен противоречить Конституции РФ, Федеральному закону Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», Федеральному закону от 27.07.2006 г. №149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Трудовому кодексу РФ и, конечно же, Положению о защите персональных данных муниципальных служащих администрации города Братска.

Теперь определим, какие разделы могут войти в Положение, регламентирующую работу с персональными данными работников и что в них включить.

1. Общие положения.

Так как наш объект исследования является муниципальной организацией, то в этом разделе следует указать, что положение разработано в соответствии с Федеральным законом «О муниципальной службе в РФ», Трудовым Кодексом РФ, Федеральным законом №152 «О персональных данных» Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации» и определяет порядок получения, обработки, хранения, передачи и защиты персональных данных работников.

2. Понятия и состав персональных данных

В этом пункте следует привести основные понятия, встречающиеся в документе а также, какие персональные данные входят в его состав.

Следующим пунктом будет:

3. Основные условия обработки персональных данных работника.

В этом пункте следует дать расшифровку понятию «обработка данных», какие требования должен соблюдать работодатель при их обработке и кто может иметь доступ для их обработки.

Эти условия определены статьей 86 Трудового кодекса РФ. Назовем некоторые из них

- сбор и обработка персональных данных работника могут осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, и только в объеме, отвечающем целям сбора и обработки персональных данных;

- все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

- защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств, в порядке, установленном федеральными законами;

- работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

В главе 2 Федерального закона №152 «О персональных данных» так же описаны основные принципы и условия обработки персональных данных. Вот некоторые из них:

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно Ст. 6 ФЗ от 27.07.2006 №152-ФЗ «О персональных данных»..

Следующим пунктом будет:

4. Доступ к персональным данным

В этом разделе следует перечислить лица и органы, которые будут иметь право доступа к персональным данным.

5. Защита персональных данных

В этом разделе нужно прописать, как будет осуществляться защита персональных данных, внутренняя, внешняя защита.

Например, следующим образом. В нашем кадровой отделе помимо личных карточек, списков, есть электронная база данных. Эта база данных храниться на одном компьютере, то есть доступ к сведениям базы имеет только один человек. Так же некоторые сведения о работниках подразделения (списки) хранятся в памяти компьютера.

Картотека с личными карточками работников подразделения находиться у ответственного за ведение табельного учета, так же списки по участкам. Один экземпляр списка структурного подразделения есть у оператора ПК.

6. Права и обязанности работника.

Работники имеют право на полную информацию об их персональных данных и обработке этих данных, свободный доступ к своим персональным данным. Работники могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.

7. Ответственность за разглашение конфиденциальной информации.

В этом разделе указывается ответственность за нарушение правил работы с персональными данными, ответственность, как работника, так и работодателя.

Наличие в подразделении положения, содержащего перечисленные разделы, позволила бы правильно организовать работу по защите персональных данных.

3.2 Разрешительная система доступа к документам, содержащим персональные данные

Следующим нашим этапом будет разработка системы доступа к документам, содержащим персональные данные, с целью защиты информации о персональных данных служащих кадровой службы.

Одним из разделов нашей инструкции является «Доступ к персональным данным», мы указали, что раздел будет содержать информацию о том, кто будет иметь доступ к персональным данным сотрудников подразделения, а что бы это определить, нам необходима разрешительная система.

Стоит отметить, что перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению о защите персональных данных. В первую очередь, доступ к персональным данным муниципальных служащих без специального разрешения имеют:

а) мэр города Братска;

б) первый заместитель мэра, руководитель аппарата администрации;

в) заведующий юридическим отделом;

г) специалисты отдела муниципальной службы и кадров, поскольку они собирают и формируют данные о работнике;

Помимо кадровиков, доступ к этим сведениям могут получить руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Теперь стоит отметить тот факт, что иногда информацией конфиденциального характера (персональными данными) интересуются люди, не имеющие права доступа к сведениям, содержащим персональные данные. Конечно, в этом случае, нужно поинтересоваться для какой цели, необходима та или иная информация. В любом случае при предоставлении персональных данных у заинтересованного лица должно быть разрешение. Так же при предоставлении информации в некоторых случаях необходимо спросить разрешения на предоставления этих данных у его обладателя.

Спорные моменты возникают при предоставлении персональной информации кредитным организациям. Бывают случаи, звонят из банков и интересуются данными определенного человека, это может быть размер заработной платы, должность, на самом ли деле человек работает в данной организации и другое. Вот здесь сложно сказать, нужно ли нам предоставить требуемую от нас информацию, получается если мы не сообщим какие-то данные то работник не получит кредит, а с другой стороны раз работник предоставляет такую информацию, то он автоматически дает согласие на ее проверку. В принципе, вероятнее всего кредитные организации должны звонить в отдел управления персоналам и запрашивать или проверять необходимую им информацию в отделе кадров. Так как все данные о сотруднике хранятся в отделе управления персоналом, и только они по запросу могут предоставить информацию конфиденциального характера (персональные данные).

Статья 88 Трудового кодекса Российской Федерации довольно подробно указывает требования при передаче персональных данных. Так в статье говориться, что работодатель не должен «сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами Статья 88 Трудового кодекса РФ.». Получается, что работодатель, да и сотрудники нашего подразделения не могут сообщать персональные данные сотрудника кредитным организациям.

Теперь, что касается предоставления персональных данных сотрудникам других подразделений. Бывают моменты, когда работники отдела управления персоналом звонят в подразделения для того, чтобы узнать информацию о каком - то конкретном работнике или для того, чтобы уточнить какие - то сведения (например, адрес, номер телефона, номер страхового свидетельства и другое).

Конечно, в этом случае мы обязаны уточнить эту информацию и предоставить в отдел управления персоналом.

Но бывают моменты, когда информацию о сотруднике нашего подразделения запрашивают сотрудники других отделов. Вот в этом случае, работники отделов должны запрашивать информацию о сотруднике в отделе управления персоналом. Так как полная информация храниться в отделе управления персоналом, и только они могут предоставлять те или иные сведения.

При оформлении допуска к персональным данным нужно внимательно рассмотреть, кому и какие сведения конфиденциального характера можно предоставлять, а так же разрешать доступ к персональным данным работников «только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций Статья 88 Трудового кодекса РФ.».

В заключении стоит отметить, что нужно быть очень внимательным при оформлении допуска к персональным данным. Необходимо точно определить, кому, и какие сведения мы будем предоставлять.

Заключение

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.

Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.

Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.

Объектом нашего изучения отдел кадровой службы администрации города Братска. При исследовании мы выявили, какие документы структурного подразделения содержат персональные данные и каким образом ведется работа с такими документами. Проанализировав документы структурного подразделения, было выявлено, что подразделения не имеют специального документа о защите персональных данных. Поэтому целью нашей работы было разработка локального акта о защите персональных данных муниципальных служащих города Братска.

Рассмотрение этого пункта являлось основным этапом нашей работы. Эта задача была главной по той причине, что сотрудники структурных подразделений, так же как и работники кадровой службы в своей работе сталкиваются с документами, содержащими персональные данные и с персональными данными сотрудников своего подразделения. Выше отмечалось, что в отделе кадров предприятия есть документ, который регламентирует работу с персональными данными (Положение об организации работы с персональными данными муниципальных служащих администрации города Братска), но этот документ не позволяет найти ответы на вопросы, возникающие при работе по обеспечению защиты персональных данных. Следовательно, мы попытались разработать «Положение по защите персональных данных работников администрации города Братска». Помимо Положения, исследовали и определили разрешительную систему доступа к персональным данным.

Подводя итоги проделанной работы, хотелось бы надеяться, что составленное нами «Положение о защите персональных данных», обеспечит защиту персональных данных муниципальных работников кадровой службы администрации г. Братска.

Список использованных источников и литературы

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписки) от 15.02.2008 г. / СПС Консультант Плюс Версия Проф.

2. Кодекс РФ об административных правонарушениях от 12.01.2001 №195-ФЗ. / СПС Консультант Плюс Версия Проф.

3. Хужокова И.М. Конституционное право человека и гражданина на неприкосновенность частной жизни. / Под ред. Е.В. Колесникова. - М.: Юрлитинформ, 2008. - 320 с.

4. Конституция Российской Федерации от 12.12.1993 г. / СПС Консультант Плюс Версия Проф.

5. Трудовой Кодекс РФ от 30.12.2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф.

6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. / СПС Консультант Плюс Версия Проф.

7. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21.02.2008 г. / СПС Консультант Плюс Версия Проф.

8. О персональных данных: Федеральный закон от 27.07.2006 г. №152-ФЗ. / СПС Консультант Плюс Версия Проф.

9. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 г. №149-ФЗ. / СПС Консультант Плюс Версия Проф.

10. О перечне сведений конфиденциального характера: Указ Президента РФ от 6.03.1997 г. №188. / СПС Консультант Плюс Версия Проф.

11. Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных: Приказ ФСТЭК от 502.2010 г. №58. / СПС Консультант Плюс Версия Проф.

12. О федеральной службе безопасности: Федеральный Закон от 3.04.1995 г. №40-ФЗ. / СПС Консультант Плюс Версия Проф.

13. Положению об организации работы с персональными данными муниципальных служащих администрации города Братска: Распоряжение мэра города Братска от 29.12.2007 г. №2025.

14. Уголовный Кодекс РФ от 13.06.1996 г. №63-ФЗ / СПС Консультант Плюс Версия Проф.

15. Бачило И.Л. Важный шаг в регулировании информационных прав граждан: К принятию ФЗ «О персональных данных» // Законы России. ? 2006. ? №11. ? С. 99-106.

16. Волчинская Е.К. Защита персональных данных: опыт правового регулирования. - М.: Галерея, 2001. - 426 с.

17. Веселова А.Б. Защита персональных данных работников. // Трудовые споры. ? 2006. ? №10. ? С. 33.

18. Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М.: Велби, Проспект, 2010. - 336 с.

19. Мачковский Л.Г. Проблемы уголовно-правовой охраны неприкосновенности частной жизни. // Современное право. ? 2003. ? №2.

20. Кадровое дело. ? 2003. ? №4.

21. Сидоренко Е. Постатейный Комментарий к Уголовному кодексу РФ с материалами судебной практики. - М.: Менеджер, 2002. - 1184 с.

22. Служба кадров // Е. Степанов доц. Гос. ун-та управления. ? 2003. ? №1.

23. Спивак В.А. Документирование управленческой деятельности. Делопроизводство. / Краткий курс. - СПб.: Питер, 2006. - 240 с.

24. Хужокова И.М. Конституционное право человека и гражданина на неприкосновенность частной жизни. / Под ред. Е.В. Колесникова. - М.: Юрлитинформ, 2008. - 320 с.

25. Цадыкова Э.А. Гарантии охраны и защиты персональных данных человека и гражданина. // Конституционное и муниципальное право. ? 2007. ? №14. ? С. 15-18.

Размещено на Allbest.ru