Защита персональных данных работников на примере ООО «Диалком»

• добавлены новые понятия в закон (автоматизированная обработка персональных данных; предоставление/распространение персональных данных и др.);
• полностью переработаны принципы обработки персональных данных;
• установлены дополнительные ограничения на доступ субъекта персональных данных к его персональным данным;
• утверждена обязанность оператора публиковать или иным способом обеспечивать доступ к документу, определяющему его политику в отношении обработки персональных данных, сведений о реализуемых требований защиты персональных данных и т.п.

Изменения затронули  и само определение «персональные  данные». Теперь персональные данные —  это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). На мой взгляд, термин стал более расплывчатым и неопределенным, что дает основания для отнесения к персональным данным практически любых сведений о человеке.

Более того, раньше для того, чтобы отнести информацию к персональным данным, нужно было доказать, что на основании предложенных сведений можно определить (идентифицировать) лицо. Теперь же любая «информация, относящаяся к определенному или определяемому лицу» не требует, в общем, никакого подтверждения. Очевидно, что такие изменения понятия «персональные данные» не будут способствовать уменьшению споров, связанных с неоднозначной трактовкой понятия персональные данные гражданина.

Из закона по-прежнему не исключено следующее основание  для непредоставления информации: «доступ  субъекта персональных данных к его  персональным данным нарушает права и законные интересы третьих лиц». Остается неясным, каким образом доступ человека к собственным персональным данным может нарушить права и законные интересы другого? Скорее всего, подобное основание для отказа в доступе к персональным данным гражданина будет пользоваться у государственных органов и органов местного самоуправления наибольшей популярностью.

Далее, предлагаемые изменения урегулируют порядок  предоставления информации субъекту персональных данных от оператора. Устанавливаются  два пути получения такой информации – запрос и обращение. К содержанию запроса теперь предъявляются дополнительные требования: помимо фамилии, имени, отчества и обратного адреса, запрос должен содержать паспортные данные лица, чьи персональные данные запрашиваются, и сведения, подтверждающие факт обработки персональных данных оператором (договор, соглашение и т.п.). Установленное законом условие, что субъект персональных данных должен представлять информацию, подтверждающую факт обработки его персональных данных оператором, также создает определенные сложности с доступом к информации. Многих людей интересуют сведения о том, обрабатываются ли его персональные данные в том или ином учреждении, или нет, при этом человек не всегда точно знает, есть ли вообще его персональные данные в конкретном учреждении. Закон устанавливает такие требования к запросу, при которых вероятность получения подобного рода информации сводится практически к нулю.¹⁵

3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ НА ПРИМЕРЕ ООО «Диалком»

3.1 История организации, вид деятельности

Общество с  ограниченной ответственностью «Диалком»  историю своего образования ведёт  с конца 2006 года. ООО «Диалком» является предприятием с частной формой собственности, учредителем и директором которого стала Фатхутдинова Карина Маратовна. Свою деятельность начало с импорта строительных материалов из Китая, тем самым оказавшись одной из первых организаций Уфы, которое стало самостоятельно вести внешнеторговую деятельность, а не закупать товары в городе Москва. В дальнейшем виды поставляемых товаров расширялись. Помимо Китая стали работать с европейскими поставщиками, стараясь своевременно реагировать  на возникающий спрос товара.

Основными видами деятельности организации являются: оптовая торговля строительными  материалами, канцелярскими товарами, а также прочая оптовая торговля. Разразившийся недавно мировой финансовый кризис также неблагоприятно отразился на деятельности Организации. В связи со снижением строительства, снизился спрос на строительные материалы и платежеспособность покупателей. За последнее время сильно выросла конкуренция.

На сегодняшний  день ООО «Диалком»специализируется  на:

• Пищевые продукты, напитки, табачные изделия - неспециализированная оптовая торговля
• Общестроительные работы
• Коммерческая деятельность и управление - консультирование
• Универсальный ассортимент товаров - торговля через агентов
• Общепромышленная техника и оборудование, приборы и техника специального назначения - оптовая торговля
• Металлы и металлические руды - оптовая торговля
• Топливо - оптовая торговля
• Автомобильный грузовой транспорт

Целью деятельности торговой организации является получение  прибыли путем удовлетворения спроса потребителей на строительные материалы  и  канцтовары.

Общество самостоятельно заключает и контролирует исполнение хозяйственных и других договоров со всеми видами организаций, предприятий и учреждений, а также частными лицами.

Высшим органом  управления общества является собрание учредителей. Оно регулярно собирается один раз в год для утверждения  бухгалтерской отчетности, отчета директора, отчета главного бухгалтера общества, распределения чистой прибыли, выборов исполнительного органа, решения стратегических вопросов деятельности общества. Оперативной деятельностью общества руководит единоличный исполнительный орган – директор.

ООО «Диалком»  не стоит на месте, его сфера деятельности постепенно расширяется.

3.2 Защита персональных данных в ООО «Диалком»

Согласно ФЗ «О персональных данных» операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение.

Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности, в том числе ООО «Диалком», являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством.

Обязанность ведения кадрового документооборота в ООО «Диалком» лежит на плечах секретаря-референта, поскольку численность работников не превышает тридцати человек. Организационным мерам по защите персональных данных работников, как мною было замечено, не уделяется должного внимания. Если отнестись к этому безответственно, то при проверке организации органами государственного надзора и контроля за соблюдением трудового законодательства, можно в результате получить штрафы и судебные иски. Для того чтобы этого избежать, в соответствии с требованиями законодательства, оператор персональных данных должен принять организационные и технические меры зашиты информации, которые включают в себя следующие действия:

1. Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Уведомление оформляется по специальной форме, которая устанавливается отдельным Приказом Роскомнадзора. Подписанное уполномоченным лицом уведомление может быть направлено как на бумажном носителе, так и в электронном виде. Во втором случае электронный документ должен быть подписан в соответствии с законодательством об электронной подписи.

Существуют случаи, когда уведомление уполномоченного органа не требуется. Например, когда организацию и субъектов персональных данных связывают трудовые отношения, когда обрабатываются исключительно общедоступные персональные данные, либо когда обработка осуществляется неавтоматизированным способом как это происходит в ООО «Диалком».

2. Организация мер по защите персональных данных, которая состоит из организационных и технических мер защиты информации

Так как ООО  «Диалком», при обработке персональных данных не использует средства автоматизации, рассмотрим только организационные меры по защите персональных данных, которые включают в себя:

• разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
• Положение об обработке персональных данных;
• Положение по защите персональных данных;
• Регламент взаимодействия с субъектами персональных данных;
• Регламент взаимодействия при передаче персональных данных третьим лицам;
• перечень мероприятий по защите персональных данных:
• определение круга лиц, допущенного к обработке персональных данных;
• организация доступа в помещения, где осуществляется обработка персональных данных;
• разработка должностных инструкций по работе с персональными данными;
• определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются в организации независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.

3. Повышение квалификации сотрудников в области защиты персональных данных. Для этого необходимо посетить соответствующие курсы обучения руководителей и специалистов органов государственной власти, муниципального управления, а также руководителей и специалистов кадровых служб организаций<span class="das