Персональные данные работника: как обеспечить сохранность информации. Защита персональных данных в работе отдела кадров
Инструкция о порядке обеспечения конфиденциальности
при обработке информации, содержащей персональные данные
I. Общие положения 1.1. Настоящая Инструкция устанавливает применяемые в Государственном образовательном учреждении высшего профессионального образования «Тольяттинский государственный университет» способы обеспечения безопасности при обработке, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, защиту, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и обучающихся ГОУ ВПО ТГУ (далее - Университет).1.2. Настоящая Инструкция разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации, а также «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»».1.3. В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Университету в связи с трудовыми отношениями и организацией образовательного процесса.1.4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Университета, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.1.5. Обеспечение конфиденциальности персональных данных не требуется в случае:обезличивания персональных данных;для общедоступных персональных данных.1.6. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждается приказом ректора Университета.Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.1.7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Университет предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:- знакомит работника под роспись с требованиями «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, с должностной инструкцией и иными локальными нормативными актами Университета в сфере обеспечения конфиденциальности и безопасности персональных данных;- предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);- обучает правилам эксплуатации средств защиты информации;- проводит иные необходимые мероприятия.1.8. Должностным лицам Университета, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.1.9. Должностные лица Университета, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.1.10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.1.11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Положением об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, должностными инструкциями и иными локальными нормативными актами Университета.Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Университета на основании письменного или устного поручения руководителя структурного подразделения.1.12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящей форме.1.13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.1.14. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Университете локальными нормативными актами.Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.1.15. Должностные лица Университета, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.1.16. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.1.17. Отсутствие контроля со стороны Университета за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.II. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации 2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:- определяет места хранения персональных данных (материальных носителей);- осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;- информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;- организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.2.4. При несовместимости целей обработки персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.III. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации 3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в Корпоративной компьютерной сети Университета (далее - ККС).Безопасность персональных данных при их обработке в ККС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в ККС информационные технологии.Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ККС, в установленном порядке проходят процедуру оценки соответствия.3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа ректора Университета при наличии паролей доступа.Работа с персональными данными, содержащимися в ККС, осуществляется в соответствии с «Регламентом действий пользователя », с которыми работник, в должностные обязанности которого входит обработка персональных данных, знакомится под роспись.3.3. Работа с персональными данными в ККС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, соответствующими требованиям «Регламента парольной защиты ».3.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.3.6. При обработке персональных данных в ККС пользователями должно быть обеспечено:а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.3.6. При обработке персональных данных в ККС разработчиками и администраторами информационных систем должны обеспечиваться:а) обучение лиц, использующих средства защиты информации, применяемые в ККС, правилам работы с ними;б) учет лиц, допущенных к работе с персональными данными в ККС, прав и паролей доступа;в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;д) описание системы защиты персональных данных.3.7. Специфические требования по защите персональных данных в отдельных автоматизированных системах Университета определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.IV. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации 4.1. Все находящиеся на хранении и в обращении в Университете съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.4.2. Учет и выдачу съемных носителей персональных данных осуществляют работники Отдела технической поддержки Центра новых информационных технологий (ЦНИТ) .Работники Университета получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок.При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в Отделе технической поддержки ЦНИТ.По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Университета.4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено главному специалисту по информационной безопасности.На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.V. Заключительные положения 5.1. С положениями настоящей Инструкции должны быть ознакомлены под роспись в "Журнале учета допуска к обработке персональных данных " все работники структурных подразделений Университета и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников и обучающихся Университета. Ответственные за инструктаж - Администраторы информационных систем, в которых обрабатываются персональные данные.В процессе осуществления хозяйственной деятельности любой работодатель сталкивается с вопросами организации труда, управления трудовыми отношениями и регламентации этих процессов. Документальное оформление кадровых процедур является неотъемлемой обязанностью любого работодателя независимо от масштабов деятельности и организационно-правовой формы предприятия. Ведение кадрового делопроизводства позволяет работодателю документально оформить трудовые отношения и формализовать кадровые процедуры.
К сожалению сегодня не все работодатели уделяют должное внимание значимости кадрового делопроизводства как процесса документирования трудовых отношений. Часто об учете кадров и кадровой документации вспоминают только при возникновении трудовых споров, либо при проведении проверки сотрудниками соответствующих органов.
Правильно организованное кадровое делопроизводство способствует не только более эффективному управлению персоналом, но и позволяет обезопасить организацию от негативных последствий неправильно оформленных трудовых отношений. Поэтому в организации важно установить правильное ведение кадровой документации, в том числе провести оформление трудовых отношений в соответствии с действующим трудовым законодательством.
Понятие и структура персональных данных
ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ДОКУМЕНТИРОВАНИЕ
Управление персоналом предполагает выполнение комплекса функций, связанных с прогнозированием и планированием трудовых ресурсов, подбором и расстановкой кадров, организацией и координацией их работы, контролем за ходом ее выполнения.
Персона - личность, особа. Персонал – это личный состав или совокупность работников (трудовой коллектив) учреждения, предприятия, фирмы, подразделяемый обычно на группы по профессиональным или служебным признакам (руководящий персонал, технический персонал, обслуживающий персонал и т.д.), месту работы (персонал конструкторского бюро, персонал отдела и т.п.).
Под персоналом мы обычно подразумеваем всех лиц, имеющих трудовые отношения с данной организацией. Термин стал широко использоваться в России с начала 1990-х гг. как синоним личного состава, кадров, трудового коллектива. В соответствии с ТК ЗФ управление персоналом основывается на социальном партнерстве, под которым понимается система трудовых отношений, направленных на обеспечение согласованности интересов работников и работодателей. Соглашение между работником и работодателем предусматривает личное выполнение работником за плату трудовой функции, соблюдение им правил внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями, трудовым договором.
С учетом предмета регулируемых правоотношений под персональными данными работника в ТК РФ понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Это определение персональных данных логично входит составной частью в аналогичное, но более широкое понятие, сформулированное в действующем Федеральном законе «Об информации, информатизации и защите информации». В соответствии с законом информация о гражданах (персональные данные) - это сведения о фактах, событиях и обстоятельствах жизни граждан, позволяющие идентифицировать его личность. Комплексы персональных данных, которые являются объектом изучения, обработки, использования и хранения в кадровых службах организационных структур всех типов, формируются в процессе реализации функций управления персоналом.
К персональным данным мы относим:
все биографические сведения гражданина;
его образование;
специальность;
занимаемую должность;
наличие судимостей;
адрес места жительства, домашний телефон;
состав семьи;
место работы или учебы членов семьи и родственников; характер взаимоотношений в семье;
размер заработной платы;
состав декларируемых сведений о наличии материальных ценностей;
Следует напомнить, что эти данные могут использоваться не только при реализации трудовых правоотношений, но и возникать, обрабатываться в ходе других событий - при обретении гражданином права на получение персональных документов (паспорта, диплома, аттестата), в медицинской практике, решении жилищных вопросов, регистрации актов гражданского состояния и многих других.
Персональные данные всегда документируются. Например, в кадровой службе организации они содержатся в:
документации, связанной с подбором персонала;
документации, сопровождающей процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);
документации по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
коллективных и трудовых договорах, соглашениях, устанавливающих трудовые взаимоотношения сторон;
подлинниках и копиях приказов по личному составу;
документации личных дел, трудовых книжках сотрудников;
делах кадровой службы, содержащих документы по планированию и организации работы службы;
справочно-информационном банке данных (учетном аппарате) по персоналу - картотеках, журналах, базах данных и др.;
подлинниках и копиях отчетных, аналитических и справочных материалов, передаваемых руководству организации, руководителям структурных подразделений и служб;
копиях отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения.
Любые персональные данные относятся к конфиденциальной информации, т.е. информации строго ограниченного и регламентированного доступа. В любых организационных структурах эта информация составляет служебную или профессиональную тайну. Хотя, учитывая массовость и единое место обработки и хранения кадровой документации, соответствующий гриф ограничения доступа на них не ставится. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.
"Кадровый вопрос", 2012, N 7
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОЙ СЛУЖБЕ
В соответствии с требованиями гл. 14 Трудового кодекса и Федерального закона "О персональных данных" (от 27 июля 2006 г. N 152-ФЗ) процесс защиты персональных данных в кадровой службе организации должен быть строго регламентирован. Следует учитывать, что именно регламентация организационных форм и технологии документирования, обработки персональных данных и их неукоснительное соблюдение всеми руководителями и сотрудниками лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.
При работе с документами, делами и базами данных кадровой службы должны соблюдаться следующие основополагающие принципы защиты персональных данных:
Личной ответственности руководства организации и работников кадровой службы за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
Разбиения (дробления) знания персональных данных между разными руководителями организации и работниками кадровой службы;
Наличия четкой разрешительной (разграничительной) системы доступа руководителей всех уровней и работников к документам, содержащим персональные данные;
Проведения регулярных проверок наличия традиционных и электронных документов, дел и баз в кадровой службе и кадровых документов в подразделениях организации.
Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами и персональными данными.
Главным моментом в защите персональных данных является четкая регламентация функций работников кадровой службы и в соответствии с этим регламентация принадлежности работникам функциональных комплексов документов, дел, карточек, журналов персонального учета и баз данных. Любые посторонние лица не должны знать рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в кадровой службе, особенно это касается бланков и документов строгой отчетности.
Под посторонним лицом понимаются не только злоумышленники или их сообщники, но и сотрудники организации, функциональные обязанности которых не связаны с работой кадровой службы. Однако каждый работник должен быть письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Работник имеет право не разрешить использовать свои персональные данные.
Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы руководителем организации должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях, утверждена схема доступа работников службы и руководящего состава организации, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.
Не допускается, чтобы работник кадровой службы мог знакомиться с любыми хранимыми документами и материалами службы. Целесообразно, чтобы отдельные работники закреплялись за должностными группами персонала организации и выполняли весь объем функций от подбора персонала до хранения документации. В случае необходимости перераспределения обязанностей среди работников службы (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение руководителя службы, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных.
При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения.
Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала - руководителям, специалистам, рабочим и т. д. Регистрация этих приказов также должна быть передана в кадровую службу.
Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.
Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и имеет регламентированный доступ к делам других работников.
В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.
Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут: руководитель организации - со всеми личными делами, его заместители - с личными делами курируемых ими подразделений, руководители структурных подразделений - с личными делами сотрудников подразделения.
Выдача личных дел на рабочие места руководителей, как правило, не допускается. На рабочие места личные дела могут выдаваться только первому руководителю, его заместителю по кадрам и в исключительных случаях по письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения - работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.
Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел - с карточками формы N Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.
Работник организации имеет право знакомиться только со своим личным делом, трудовой книжкой, учетными карточками. Он имеет право потребовать внесения изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденные документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.
О. Иванов
Подписано в печать
Работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда в некрупных организациях -- секретаря-референта (далее -- отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.
Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи, не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания и др.
Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют личность каждого человека. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных -- органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.
Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.
Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя или пользователя персональных данных, и устанавливается действующим законодательством, лицензией или договором. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя эти данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.
Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны -- служебной или профессиональной тайне. Профессиональная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и другие подвиды этой тайны.
Персональные данные накапливаются и используются, например, в налоговых инспекциях, правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Но наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу), образующей соответствующую информационно-документационную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами (далее предприятием). Эта система имеет не только текущее, оперативное назначение в осуществлении кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной России.
В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации:
- а) документация по организации работы отдела;
- б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.
Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства предприятия, регламентирующие структуру отдела и распределение сфер ответственности между его работниками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.). К этому относят также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность на различных предприятиях, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации на конкретном предприятии следующие полезные для себя сведения:
- - распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т.е. сведения о том, где искать требуемую информацию;
- - распределение функций внутри отдела кадров между структурными единицами отдела (группами, секторами) и между работниками, т.е. сведения о том, у кого искать требуемую информацию;
- - регламентацию рабочего процесса по оформлению документации, пропусков, удостоверений, т.е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;
- - регламентацию места хранения документов, дел, баз данных, т.е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;
- - регламентацию отчетной и справочной работы, т.е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналом.
Под злоумышленником понимается лицо или группа лиц, предполагающих совершить и умышленно совершающих противоправные действия с целью овладения информацией, составляющей тайну предприятия. К злоумышленникам относят: недобросовестных конкурентов и партнеров, лиц, действующих в их интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данного предприятия, сотрудничающего со злоумышленником, и иных лиц, пытающихся нанести ущерб предприятию или его персоналу.
Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонним лицом мы понимает не только злоумышленников или их сообщников, но и сотрудников предприятия, функциональные обязанности которых не связаны с работой отдела. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.
Вторая группа -- документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:
- - комплексы документов, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);
- - комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
- - подлинники и копии приказов по личному составу;
- - личные дела и трудовые книжки сотрудников;
- - дела, содержащие основания к приказам по личному составу;
- - дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;
- - справочно-информационный банк данных по персоналу -- учетно-справочный аппарат (картотеки, журналы, базы данных и др.);
- - подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;
- - копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
При работе с документами, делами и базами данных отдела кадров должны соблюдаться следующие основополагающие принципы защиты персональных данных:
- - личной ответственности работников за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также носителей этой информации;
- - разбиения (дробления) знания персональных данных между разными работниками отдела;
- - наличия четкой разрешительной системы доступа работников отдела к документам, делам и базам данных;
- - проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.
Как мы видим, главным моментом в защите персональных данных является четкая регламентация функций работников отдела кадров и в соответствии с этим регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.
Для реализации этого положения руководителем предприятия должен быть издан приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утверждена схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.
По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела. Целесообразно, в целях разграничения доступа и разбиения знания персональных данных между работниками, закрепить за разными работниками:
- а) документированное оформление трудовых правоотношений (прием, перевод, увольнение и др.),
- б) ведение личных дел и трудовых книжек,
- в) составление и хранение приказов по личному составу и контрактов,
- г) ведение справочно-информационного банка данных.
Распределение сфер деятельности может быть иным в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть осуществлено в обязательном порядке. Это позволит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность документации.
Начиная с 1 января 2010 года в полной мере вступают в силу положения закона «О персональных данных», предусматривающие достаточно жесткие, очень трудоемкие и затратные требования к операторам персональных данных. Весьма нелегко придется операторам: им потребуется по полной программе выполнять многочисленные требования ФСБ и ФСТЭК, которые те разработали. Практика исполнения данного закона уже выявила несколько проблем, которые потенциально затрагивают и службы управления документами.
В организации возникает новый, весьма объемный пласт документации, связанный с исполнением требований законодательства о создании большого числа внутренних нормативных документов, регламентирующих порядок работы с персональными данными. Кроме того, контролирующие инстанции уже сейчас требуют регулярного создания документов, подтверждающих постоянный характер этой работы. Фактически речь идет о создании в организации системы менеджмента персональных данных, Далее именуется как ПД аналогичной по своим принципам системе менеджмента качества.
Существующая судебная практика показала также, что в ряде случаев при небрежном отношении организации к юридическим тонкостям положений закона «О персональных данных» некоторые требования законодательства о ПД начинают противоречить общепринятой практике делопроизводства и архивного дела. Например, когда процесс обработки ПД считается завершенным, эти данные должны быть уничтожены в течение 3 дней, несмотря на установленные сроки хранения (анализ сведений, содержащихся в реестре операторов ПД, показывает, что многие организации указывают в качестве условия завершения обработки ПД прекращение оперативной работы с этими данными в деловых подразделениях, забывая при этом, что в большинстве случаев содержащие ПД документы необходимо достаточно долго хранить во исполнение других законодательно-нормативных требований).
Ситуация обострилась настолько, что нельзя исключить принятие уже в этом году Правительством и Думой пожарных мер в виде поправок в закон «О персональных данных», смягчающих требования и/или сдвигающих дату окончания переходного периода. 12 ноября 2009 года в Государственную Думу был внесен законопроект «О внесении изменений в федеральный закон «О персональных данных»», который представил глава думского комитета по финансовому рынку Владислав Резник. В Госдуму внесен законопроект, уточняющий порядок обработки персональных данных//Информационное агентство «РосБизнесКонсалтинг», 12 ноября 2009 г.
Законопроектом предлагается определить, что «обработка персональных данных может осуществляться оператором в следующих случаях:
- - установления или реализации договорных отношений, предполагающих обработку персональных данных;
- - выполнения требований законов, определяющих случаи обязательной обработки персональных данных;
- - удовлетворения собственных потребностей при условии, что при этом не нарушаются права субъекта персональных данных». Пояснительная записка к проекту федерального закона «О внесении изменений в федеральный закон «О персональных данных», законопроект № 282499-5.
На фоне кризиса в мировой экономике, да и в силу малого интереса россиян к вопросам законодательства принятие этого закона осталось практически незамеченным. Международный опыт показывает, что именно этот закон, особенно в сочетании с законодательством о защите персональных данных, способен доставить крупные неприятности государственным муниципальным органам.
Поскольку этот закон появился «сверху», пока ни одна из заинтересованных сторон большого внимания на него не обратила. Такая ситуация, скорее всего, продлится недолго. И, как показывает мировой опыт, государственные органы столкнутся с рядом сложных проблем. С точки зрения делопроизводства, в государственных органах возникнет еще один мощный документопоток, а в связи с неизбежными нарушениями требований законодательства будут и многочисленные судебные иски и разбирательства. Государственным органам с их постоянно недоукомплектованной, недооплачиваемой и перегруженной службой ДОУ придется очень нелегко. Закон, кроме того, меняет технологию работы с документами: например, впервые вводится трудоемкая практика цензурирования документов, имеющих грифы ограничения доступа.
В отличие от федеральных органов, региональные органы власти осенью 2009 года уделили этому законодательству больше внимания. В ряде регионов разрабатываются и принимаются собственные законодательные и нормативные акты, регламентирующие порядок доступа к информации региональных властей.
В середине 2009 года вступил в силу ряд законодательных актов. Это прежде всего новая статья 13.25 «Нарушение требований законодательства о хранении документов» Кодекса Российской Федерации об административных правонарушениях, ужесточающая требования к организации хранения документов коммерческих организациях. Теперь организация может быть оштрафована на 200-300 тысяч рублей, например, за отсутствие номенклатуры дел.
Требования новой статьи распространяются как на акционерные общества и участников рынка ценных бумаг, так и на общества с ограниченной ответственностью, государственные и муниципальные унитарные предприятия. Наказания для них установлены одинаковые. Разница заключается лишь в том, что с организациями, перечисленными в первой части статьи, будет разбираться Федеральная служба по финансовым рынкам, а с ООО и унитарными предприятиями - государственный орган, «уполномоченный в области управления архивным фондом», т.е. Росархив.
Кроме того, Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации» от 28.04.2009 № 733-ФЗ также ужесточил требования к обеспечению сохранности документов. Соответствующие нормы внесены в 3 российских Федеральных закона: «О банках и банковской деятельности», «О несостоятельности (банкротстве) кредитных организаций» и «О несостоятельности (банкротстве)». Эти изменения уже вступили в силу - в начале июня 2009 г. Цитата по: Дэвид Банисар Свобода информации в мире. 2006 год. Общий обзор законодательства по доступу к правительственной информации в мире. «Privacy International», 2006. С.35-36.
Впервые в нашем законодательстве фактически введена персональная ответственность высшего руководства организации за сохранность документов.
В свете новых требований еще острее становится вопрос о правильном установлении и отслеживании сроков хранения документов и об уничтожении документов с истекшими сроками хранения в строгом соответствии с законодательством. В этой связи повышенный интерес вызывает разработка и введение в действие новых перечней документов с указанием сроков хранения.
29 октября 2009 г. Федеральное архивное агентство разместило для публичного обсуждения и общественной экспертизы проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской Федерации, органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения». Проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения» http://www.rusarchives.ru/news/ptyad.pdf За этот поступок, способствующий большей открытости работы ведомства и повышению качества разрабатываемых нормативных документов, руководство Росархива заслуживает самых добрых слов, и хочется надеяться, что данная практика станет традиционной.
Перечисленные выше факторы будут оказывать давление на организации как государственного, так и частного сектора. В первую очередь это давление почувствуют на себе специалисты служб, обеспечивающие бумажный и электронный документооборот. Весьма вероятно, что объемы работы увеличатся, и в первую очередь это грозит сотрудникам государственных органов.
С другой стороны, появляются и новые возможности в случае, если сотрудники, традиционно работающие с бумажными документами, сумеют найти свою нишу в новых направлениях работы, в первую очередь связанных с внедрением информационно-телекоммуникационных технологий. Это даст им шанс на повышение социального статуса в организации и, соответственно, уровня заработной платы.
И если перспективы на 2010 год для государственных организаций и собственников коммерческих организаций выглядят не слишком радостно, то для специалистов ДОУ они могут быть источником определенного оптимизма. Во все более усложняющейся ситуации грамотно организовать работу с документами могут только квалифицированные специалисты, а тем руководителям, кто этого еще не понял, стоит зарезервировать несколько сотен тысяч рублей для оплаты штрафов за нарушение требований законодательства.
Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.
Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.
Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.
Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.
В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.
Приведём несколько примеров соответствующих документов.
Образец приказа о назначении ответственного за организацию обработки персональных данных:
Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:
Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка
Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)
УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»
ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»
1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.
С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Образец обязательства о неразглашении персональных данных:
Обязательство о неразглашении персональных данных работников ООО «Работодатель»
Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись
Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:
Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)
Согласие на передачу персональных данных третьей стороне
Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись
ВАЖНО:
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).
Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.
Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"