Смекни!
smekni.com

Защита персональных данных работников (стр. 13 из 18)

Персональные данные должны храниться в порядке, обеспечивающем их защиту от неправомерного их использования или утраты. Обязанность по обеспечению такого порядка возложена на работодателя. Работники не должны отказываться от своих прав на сохранение и защиту тайны персональных данных. В связи с этим работодатель обязан совместно с работниками, их представителями вырабатывать меры защиты персональных данных работников, заключающиеся в следующем:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Меры защиты, предпринимаемые работодателем, подразделяются на технические и организационные.

К техническим мерам относятся как оснащение помещений, в которых хранятся документы, содержащие персональные данные, техническими средствами защиты, так и организация системы охраны, соблюдение порядка доступа в помещение. Помещения оборудуются охранной сигнализацией, в нерабочее время помещения пломбируются (опечатываются), в рабочее время - закрываются на ключ. Используются также шифровальные (криптографические) средства.

К организационным мерам защиты относится разработка локальных нормативных актов, регламентирующих обработку и использование персональных данных работников.

Статья 86 ТК РФ направлена на то, чтобы персональные данные использовались прежде всего в интересах работника: для определения его правового положения по отношению к работодателю, объема и содержания прав и обязанностей работника, вытекающих из трудового договора, и соответственно встречных прав и обязанностей работодателя. Персональные данные работника призваны дать обоснование правомерности заключения и реализации трудового договора, его прекращения, представление об условиях его труда, полагающихся ему гарантиях, компенсациях и льготах[87].

Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые при заключении трудового договора (см. ст. 65 ТК);

2) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;

3) документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры;

4) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);

5) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.

Статья 9 Федерального закона от 27 июля 2006 г. «О персональных данных» устанавливает необходимость письменного согласия субъекта персональных данных на обработку своих персональных данных. Исключения предусмотрены этим же законом. Что касается трудовых отношений, то здесь работник сам сообщает работодателю необходимые сведения при заключении трудового договора и в процессе его действия.

Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. №687[88]. В соответствии с указанным Положением, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Требования, предъявляемые к работодателю по поводу обработки пер­сональных данных работника, не ограничиваются нормами о передаче ин­формации внутри организации и за ее пределами. Конкретные права и обя­занности работника и работодателя раскрываются при анализе содержания правоотношения по защите персональных данных.

2.2 Защита персональных данных работников на локальном уровне

Положение об обработке персональных данных - это локальный нормативный акт, в котором в соответствии с главой 14 ТК РФ регламентированы требования при обработке персональных данных работника, гарантии их защиты, хранение и использование персональных данных, права работника по защите персональных данных и ответственность работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Положение об обработке персональных данных утверждается и вводится в действие приказом руководителя предприятия и является обязательным для исполнения всеми работниками. При разработке данного положения рекомендуется руководствоваться следующими принципами[89]:

- личная ответственность работников за сохранность и конфиденциальность сведений о персональных данных работников, а также носителей этой информации;

- разбиение знания персональных данных между разными работниками предприятия;

- недопущение свободного доступа работников к документам и материалам, содержащим сведения о персональных данных;

- наличие четкой разрешительной системы доступа работников предприятия к документам, делам и базам данных, содержащих персональные данные.

В первой части документа "Общие положения" дается определение цели, для которой создается Положение об обработке персональных данных. Целью создания данного документа является обеспечение защиты персональных данных сотрудников от несанкционированного доступа, неправомерного их использования или утраты. В этом же разделе представлен список документов, на основании которых разрабатывается Положение об обработке персональных данных (Конституция РФ, ТК РФ, КоАП РФ, ГК РФ, УК РФ, Федеральный закон «О персональных данных», Федеральный закон «Об информации, информационных технологиях и защите информации»). Также в первой части положения определяется порядок утверждения и введения в действие Положения об обработке персональных данных.

Во второй части положения дается определение понятию "персональные данные". "Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника". Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

В состав персональных данных работника может входить следующая информация:

- анкетные и биографические данные;

- сведения об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- наименование специальности;

- занимаемая должность;

- сведения о наличии судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- копии отчетов, направляемые в органы статистики.

Персональные данные относятся к категории конфиденциальной информации. Работодатель не имеет права требовать от работника предоставления информации, касающейся других лиц. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

Следующий раздел документа регламентирует порядок работы с персональными данными сотрудников и может называться "Обработка персональных данных".

Персональные данные следует получать у самого работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.