Защита персональных данных работников на примере ООО «Диалком»

Таким образом, организация, которая осуществляет практически любую работу с персональными данными от обычной систематизации данных до их передачи третьим лицам, называется оператором персональных данных.

1.2 Общие требования при обработке персональных данных работников и гарантии их защиты

Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной  тайне. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом.

 В сфере  трудовых отношений данный вопрос  регулируется соответствующими положениями Трудового кодекса Российской Федерации, а также Федеральным законом от 27 июня 2006 года № 152-ФЗ «О персональных данных» и принятыми в его развитие подзаконными актами, регулирующими вопросы обработки персональных данных в информационных системах.

Согласно статье 3 ФЗ «О персональных данных», информационная система персональных данных представляет собой совокупность персональных данных, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. С учётом того, что многие компании осуществляют обработку персональных данных своих работников с использованием компьютерной техники и специального программного обеспечения, необходимость соответствия требованиям ФЗ «О персональных данных» является актуальной для многих из них. При этом с точки зрения определения круга требований, которым должна соответствовать компания, важным критерием является факт использования средств автоматизации.

Обработка персональных данных считается осуществленной без  использования средств автоматизации (неавтоматизированной), если такие  действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека³. Из приведенного положения законодательства следует очень важный вывод – если непосредственная обработка персональных данных в информационной системе осуществляется с привлечением человека, то такая обработка персональных данных не является автоматизированной, что сужает круг требований, которым должна соответствовать компания. С учётом того, что большинство компаний осуществляют обработку персональных данных именно таким способом, в дальнейшем мы остановимся более подробно именно на этом типе обработки персональных данных. Стоит также отметить, что факт включения персональных данных в информационную систему не означает наличие средств автоматизации при обработке персональных данных.

Действующее законодательство устанавливает определенные требования для обработки персональных данных, осуществляемой без использования  средств автоматизации:

1. различные цели обработки персональных данных требуют использования раздельных материальных носителей и их раздельное хранение;
2. лица, осуществляющие обработку персональных данных, должны быть проинформированы о правилах такой обработки;
3. типовые формы документов, которые содержат персональные данные, должны отвечать определённым требованиям;
4. при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключаться несанкционированный к ним доступ;
5. оператор персональных данных должен установить правила обработки персональных данных в локальном нормативном акте (например, места хранения персональных данных, перечень лиц имеющих доступ к персональным данным, др.).

Также одним  из важных требований является обеспечение  безопасности персональных данных, в  том числе от несанкционированного доступа или изменения содержащихся в информационной системе данных. Такая безопасность достигается за счёт ряда мер организационного и технического свойства.

Основные организационные  меры заключаются в принятии соответствующего локального нормативного акта, который будет регулировать вопросы, связанные с персональными данными. Данный локальный нормативный акт, как правило, регулирует следующие вопросы:

• сбор, обработка и хранение персональных данных;
• защита персональных данных работника;
• передача персональных данных;
• ответственность за разглашение персональных данных работника;
• иные применимые положения.

Работодатель  обязан ознакомить работников под роспись  с таким локальным нормативным  актом. При этом при приеме на работу это должно быть сделано до подписания трудового договора с работником.

В части технических  мер можно выделить использование  специальных средств защиты информации (шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и программно-технических воздействий на технические средства обработки персональных данных).

Наличие в компании положения о персональных данных важно не только с точки зрения соблюдения требований законодательства, но и с практической точки зрения. Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника третьей стороне. Так, подобная ситуация может возникнуть при заключении договора медицинского страхования в пользу работников (корпоративная программа добровольного медицинского страхования) и опосредованной этим передаче персональных данных работника страховой компании; при передаче функций по ведению бухгалтерского учета третьей стороне, при обращении к консультантам в сфере налогообложения, к юристам за получением соответствующей консультации и т.д.⁴

Помимо обеспечения  интересов работника, целью сбора  персональных данных может быть лишь контроль за количеством и качеством  работы, а также за сохранностью имущества. Поэтому, например, контроль за электронной перепиской со служебного электронного адреса, хотя и допустим, но все же должен ограничиваться регистрацией адресатов и не касаться содержания пересылаемых сообщений. Это же касается телефонных линий и других средств сообщения. Использование служебного имущества и служебных средств связи в личных целях может повлечь дисциплинарное взыскание, но работодатель не вправе на этом основании вмешиваться в личную жизнь работника.⁵

Подводя итог выше изложенному, хотелось бы еще раз обратить внимание на то, что для соответствия требованиям законодательства при обработке персональных данных работников для любой компании крайне важно осуществить оценку существующего порядка обработки персональных данных с точки зрения наличия необходимых локальных документов. Кроме того, необходимо осуществить проверку соответствия информационных систем персональных данных установленным требованиям. Все это позволит избежать нарушений законодательства, регулирующего вопросы обработки персональных данных работника.

1.3 Работа кадровой  службы с персональными данными

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Поэтому процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в кадровой службе.

Правила ведения конфиденциального  делопроизводства должны применяться  в первую очередь в отношении  личных дел сотрудников, в которых  содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.

Работники отдела кадров должны помнить, что личные дела сотрудников  должны храниться строго отдельно от всех других документов в закрывающихся  шкафах или ящиках. Необходимо иметь  в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Отделу кадров целесообразно  вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием  правил работы с персональными данными  является установление личной ответственности  сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно  сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.⁶

Более того, в  соответствии с частью 3 статьи 57 ТК РФ условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.⁷

Система защиты конфиденциальных сведений должна предусматривать  проведение регулярных проверок наличия  документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Однако, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутриорганизационного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

1.4 Контроль защиты персональных данных работников

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами  контроля могут быть:

• аттестация работников;
• отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
• регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
• самоконтроль.

Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.