Персональные данные и их документирование

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. № 225). Ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Поскольку обязанность по защите персональных данных возлагаются на работодателя, то для осуществления такой защиты следует произвести определенные действия по созданию соответствующих технических условий, в частности особый режим доступа в те помещения, где хранятся персональные данные, оборудование мест для хранения такой информации, меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Одной из разновидностей обработки персональных данных работника является их передача как внутри организации, так и за ее пределы. При передаче персональных данных работника запрещается сообщать их без его согласия: в коммерческих целях, любой иной третьей стороне.22 Исключением являются случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, предусмотренные Трудовым Кодексом РФ.

Из этого следует, что персональные данные работников собираются для внутреннего сведения и осуществления нормальной работы организации и без согласия работника не подлежат передаче третьим лицам как письменно, так и устно.

Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены. Работодатель вправе требовать подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).

Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым работники должны быть ознакомлены под подпись.

4. Доступ к персональным данным  работника разрешается только  специально уполномоченным лицам. При этом указанные лица вправе  получать только те персональные  данные, которые необходимы им  для выполнения конкретных функций.

Запрещается запрашивать информацию о состоянии здоровья работника, кроме сведений, относящихся к вопросу о возможности выполнения работником его трудовой функции.

Передача персональных данных работника представителям работников допускается лишь в объеме, необходимом для выполнения представителями указанных ими функций.

Трудовой Кодекс Российской Федерации закрепляет права работника в целях обеспечения защиты персональных данных, хранящихся у работодателя. К таким правам относятся:

• право на полную информацию о своих данных, свободный доступ к ним;
• право требовать исключить или исправить неверные персональные данные.23

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности.

Выводы по главе: Используя метод изучения законодательных материалов, литературы, а также метод познания, автор пришел к такому выводу, что если информация позволяет однозначно идентифицировать субъекта, то такая информация относится к его персональным данным. Но для того чтобы идентифицировать субъект необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. Если в какой-либо организации, учреждении работают с физическими лицами, то данная организация, учреждение осуществляют обработку персональных данных и обязана обеспечить их защиту в соответствии с требованиями законодательства в области защиты персональных данных.

 

 

 

Глава 2.  АНАЛИЗ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

В ООО «Гранд Тур»

 

2.1. Общая характеристика ООО «Гранд Тур»

 

 

2.2. Обработка и процесс защиты персональных данных

в ООО «Гранд Тур»

 

В настоящее время активно внедряются информационные системы, осуществляющие обработку персональных данных, делопроизводство, бухгалтерские программы и др. Эти системы предназначены для ведения электронных баз данных, оперативного управления организацией. Организации должны отреагировать на требования законодательства о защите персональных данных участников образовательного процесса в первую очередь, т. к. речь идет о защите сведений, незаконное использование которых может серьезно отразиться на правах граждан.

Защита персональных данных работника является неотъемлемой составляющей права на уважение частной жизни человека, которое может быть ограничено только в предусмотренных пределах и при определенных условиях.

В целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в ООО «Гранд Тур» введен режим обработки персональных данных.

Работник кадровой службы ООО «Гранд Тур» при работе с персональными данными руководствуется разработанным Положением о порядке обработки персональных данных (приложение 1). Настоящее Положение определяет порядок получения, учета, обработки, накопления и хранения персональных данных.

В кадровой службе ООО «Гранд Тур» обработка персональных данных работников осуществляется двумя способами: без использования средств автоматизации (неавтоматизированная) и с использованием средств автоматизации (автоматизированная).

Неавтоматизированная обработка персональных данных в ООО «Гранд Тур» осуществляется в соответствии с законодательством Российской Федерации и «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства Российской Федерации от 15.09.2008 г. № 687.

К неавтоматизированной обработке относятся:

• различные виды бумажных журналов;
• личные дела сотрудников;
• другие виды обработки, производящиеся исключительно на бумаге.24

Неавтоматизированная обработка персональных данных осуществлена в ООО «Гранд Тур»   следующим образом:

• определены места хранения персональных данных (материальных носителей);
• не установлен перечень лиц, осуществляющих обработку персональных  данных  и имеющих к ним доступ;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• не соблюдены условия, обеспечивающие сохранность персональных данных и несанкционированный к ним доступ.

При оформлении работника в ООО «Гранд Тур» работником отдела кадров заполняются унифицированные формы Т-1 и Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника: общие сведения, сведения о воинском учете, данные о приеме на работу.

 В дальнейшем в личную  карточку вносятся сведения о переводах на другую работу, сведения об аттестации, сведения о повышении квалификации, сведения о профессиональной переподготовке, сведения о наградах (поощрениях), почетных званиях, сведения об отпусках, сведения о социальных гарантиях, сведения о месте жительства и контактных телефонах.

Для получения персональных данных по форме Т-2 требуется письменное согласие принимаемого на работу физического лица. Обработка личных дел сотрудников производится на бумажных носителях.

Все бумажные носители, содержащие персональные данные сотрудников и имеющие отношение к кадровому учёту,  хранятся в отделе кадров в сейфе и несгораемом шкафу.

Автоматизированная обработка (обработка с помощью средств автоматизации) осуществляется в информационных системах персональных данных25. Информационная система персональных данных представляет собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Автоматизированная обработка регулируется Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Все государственные образовательные учреждения города Москвы, использующие информационные системы, в которых обрабатываются персональные данные, обязаны обеспечивать защиту этих данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».

Информационными системами являются системы (например, компьютеры или объединенные в локальную сеть компьютеры в совокупности с их программным обеспечением), в которых обрабатываются персональные данные.

Информационные системы персональных данных по своей структуре и свойствам бывают разными, поэтому очень важно определить владельца системы.

Под владельцем информационной системы подразумевают организацию, попадающую под одно или несколько определений (они расположены в порядке важности):

• у кого физически расположено главное хранилище (база данных) персональных данных;
• на чьем балансе стоят все (или большинство) технические средства информационной системы;
• в чьих интересах производится обработка персональных данных.

Работник кадровой службы ООО «Гранд Тур» обрабатывает персональные данные в информационной системе «Типовое ядро. Кадры», предоставленной внешней (вышестоящей) организацией Департаментом образования города Москвы «Гранд Тур» и обрабатывает данные по ее распоряжению. Таким образом, ООО является владельцем и работником кадровой службы должен быть обеспечен весь комплекс мероприятий по защите персональных данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.26 Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Выводы по главе: Используя метод анализа, автор определил, что в ООО «Гранд Тур» обработка персональных данных осуществляется как с использованием автоматизированных средств (автоматизированная обработка), так и без использования автоматизированных средств (неавтоматизированная).

Неавтоматизированная обработка в данный момент практически не регламентирована, поэтому рекомендуется осуществлять автоматизированную обработку, и обеспечить все необходимые меры по защите персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных».

В ООО «Гранд Тур» на сегодняшний день не в полном объеме обеспечена защита персональных данных, в связи с отсутствием специалиста по информационной безопасности

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи по выполнению требований Федерального закона № 152-ФЗ «О персональных данных» нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите персональных данных не предполагает быстрого их завершения.

Рассматриваемая тема в настоящее время особенно актуальна, т. к. более активное использование средств компьютерной техники и информационно-обрабатывающих технологий, а также увеличивающийся объем массивов информации вызывает появление новых правовых проблем, требующих от работодателей принятия адекватных мер реагирования.

 

 

Глава 3.  РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ В ООО «Гранд Тур»

 

Каждый сотрудник должен быть индивидуально письменно проинформирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Подобную информацию удобнее включить в трудовой договор с работником.

Порядок работы с кадровой документацией в полном объеме должен соответствовать требованиям обращения с конфиденциальными документами.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы руководителем должен быть издан приказ о закреплении за работником службы определенных массивов документов, необходимых для информационного обеспечения функций, указанных в должностной инструкции.

Одновременно должна быть утверждена схема доступа работников службы и руководящего состава к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.