Документы содержащие персональные данные в отделе кадров. Персональные данные. Понятие персональных данных

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении отдела кадров не могут находиться посторонние лица, в том числе сотрудники предприятия. Приемные часы должны быть разными для сотрудников предприятия и лиц, не входящих в эту категорию. Подобное разграничение необходимо ввиду того, что в числе последней группы лиц может быть злоумышленник, который будет прослушивать переговоры сотрудников предприятия, знакомиться с их привычками, чертами характера, что в последующем может стать основой для формирования им канала несанкционированного доступа к ценной информации. Прием посетителей должен быть организован таким образом, чтобы в помещении отдела не было лиц, ожидающих приема. Не должны организовываться так называемые “живые очереди”. Ожидающие приема лица всегда подсознательно или умышленно прослушивают переговоры работника отдела и посетителя. Злоумышленник может эти переговоры записывать с помощью диктофона или миниатюрной видеокамеры.

В часы приема посетителей работники отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. В помещении отдела кадров в часы приема посторонних лиц может находиться работник службы безопасности предприятия. Целесообразно также наличие сигнализации, оповещающей сотрудников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника отдела не должно быть тяжелых предметов: подставок под календарь, пепельниц и т.п.

Прием посетителей чаще всего связан с ведением справочной работы: ответов на вопросы посетителей и выдачей им справок. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону. Ответы на письменные запросы других учреждений и организаций даются в письменной форме на бланке предприятия или отдела кадров и в том объеме, который позволяет не разглашать излишний объем персональных сведений.
При выдаче справки с места работы необходимо удостовериться в личности сотрудника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Справка выдается на основании учетной карточки Т-2, а не пропуска, т.к. сотрудник при увольнении мог не сдать пропуск или удостоверение. Справка подписывается начальником отдела кадров. Передает справку на подпись работник отдела, а не посетитель. Одновременно начальник отдела ставит на справке печать. За получение справки сотрудник предприятия расписывается в журнале учета выдачи справок.

Чистые бланки справок подлежат обязательному учету. Они хранятся у начальника отдела кадров и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед начальником отдела об израсходованных бланках справок и сдает ему оставшиеся чистыми и испорченные бланки. Заранее ставить на чистых бланках справок подпись начальника отдела и печать не допускается.
В целях удобного доступа посетителей в отдел кадров помещения отдела должны располагаться на первом этаже здания, по близости от входа. В часы приема лиц, не являющихся сотрудниками предприятия, вход в отдел должен быть свободным для всех желающих. Проход посторонних лиц в помещение отдела контролируется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необходимости посетителя провожают. Не допускается бесконтрольное нахождение посторонних лиц в здании предприятия.

Отдел кадров должен иметь три смежных помещения: комнату для работников отдела, кабинет начальника отдела и помещение, в котором размещаются шкафы и сейфы для документов, дел и картотек. Вход в отдел кадров может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений отдела. Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Все помещения оборудуются охранной сигнализацией.

Сдачу на охрану и снятие с охраны помещений отдела кадров осуществляет начальник отдела или его заместитель. Уборка помещений допускается только в присутствии этих лиц. Мусор, выносимый из помещений, должен сжигаться.
Подбор персонала для работы в отделе кадров ведется с учетом требований, которые разработаны для должностей, связанных с владением и обработкой конфиденциальных сведений и документов.
Следовательно, работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда в некрупных организациях - секретаря-референта (далее - отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи, не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания и др.

Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют личность каждого человека. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных - органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя или пользователя персональных данных, и устанавливается действующим законодательством, лицензией или договором. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя эти данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.
Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны - служебной или профессиональной тайне. Профессиональная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и другие подвиды этой тайны.

Персональные данные накапливаются и используются, например, в налоговых инспекциях, правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Но наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу), образующей соответствующую информационно-документационную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами (далее предприятием). Эта система имеет не только текущее, оперативное назначение в осуществлении кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной России.

В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации: а) документация по организации работы отдела и б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.
Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства предприятия, регламентирующие структуру отдела и распределение сфер ответственности между его работниками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.). Сюда относятся также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность на различных предприятиях, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации на конкретном предприятии следующие полезные для себя сведения:
" распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т.е. сведения от том, где искать требуемую информацию;
" распределение функций внутри отдела кадров между структурными единицами отдела (группами, секторами) и между работниками, т.е. сведения о том, у кого искать требуемую информацию;
" регламентацию рабочего процесса по оформлению документации, пропусков, удостоверений, т.е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;
" регламентацию места хранения документов, дел, баз данных, т.е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;
" регламентацию отчетной и справочной работы, т.е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналом.
Под злоумышленником понимается лицо или группа лиц, предполагающих совершить и умышленно совершающих противоправные действия с целью овладения информацией, составляющей тайну предприятия. К злоумышленникам относят: недобросовестных конкурентов и партнеров, лиц, действующих в их интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данного предприятия, сотрудничающего со злоумышленником, и иных лиц, пытающихся нанести ущерб предприятию или его персоналу.
Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонним лицом мы понимает не только злоумышленников или их сообщников, но и сотрудников предприятия, функциональные обязанности которых не связаны с работой отдела. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.
Вторая группа - документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:

комплексы документов, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);

комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;

подлинники и копии приказов по личному составу;

личные дела и трудовые книжки сотрудников;

дела, содержащие основания к приказам по личному составу;

дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;

справочно-информационный банк данных по персоналу - учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;

копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
При работе с документами, делами и базами данных отдела кадров должны соблюдаться следующие основополагающие принципы защиты персональных данных:

личной ответственности работников за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также носителей этой информации;

разбиения (дробления) знания персональных данных между разными работниками отдела;

наличия четкой разрешительной системы доступа работников отдела к документам, делам и базам данных;

проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Как мы видим, главным момOнтом в защите персональных данных является четкая регламентация функций работников отдела кадров и в соответствии с этим регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Для реализации этого положения руководителем предприятия должен быть издан приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утверждена схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Это также не исключает возможности того, что работодатель разрешит сотруднику отдела охраны здоровья и безопасности. С другой стороны, когда речь заходит о внешних компаниях, предоставляющих услуги по охране труда, обучении или обучении в области БГТ, положения Закона не запрещают передачу персональных данных сторонним компаниям при условии заключения работодателем письменного контракта с такой компанией на основании ст. 31 сек. 1 акт. В этом соглашении должны быть четко указаны объем и цель обработки данных.

В дополнение к контракту работодатель должен предоставить сторонней компании доверенность на обработку данных. Данные могут обрабатываться только лицами, уполномоченными контроллером данных. Поэтому работодатель должен выпустить соответствующий документ, в котором говорится, что компания имеет право обрабатывать персональные данные своих подчиненных. С другой стороны, владелец, который использует это лицо для хранения документации сотрудника и, как правило, сотрудников офиса, а также должен разрешать этим сотрудникам обрабатывать полученные данные.

По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела. Целесообразно, в целях разграничения доступа и разбиения знания персональных данных между работниками, закрепить за разными работниками: а) документированное оформление трудовых правоотношений (прием, перевод, увольнение и др.), б) ведение личных дел и трудовых книжек, в) составление и хранение приказов по личному составу и контрактов, г) ведение справочно-информационного банка данных. Распределение сфер деятельности может быть иным в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть осуществлено в обязательном порядке. Это позволит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность документации.

При работе с отдельными группами документации по кадрам есть специфические особенности.
Операции по оформлению, формированию, ведению и хранению личных дел выполняются одним работником отдела кадров, который несет личную ответственность за сохранность документов в делах и доступ к делам других работников. Документы для формирования и ведения личных дел сдаются ему под роспись в передаточном журнале работником, отвечающим за процесс документирования трудовых правоотношений граждан с предприятием. Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, помещаются не в личное дело принятого сотрудника, а в специальное дело, имеющее гриф “Строго конфиденциально”. Объясняется это тем, что подобные материалы раскрывают личностные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику в процессе поиска им канала несанкционированного доступа к ценной информации предприятия, для шантажа сотрудника и склонения его с сотрудничеству. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в другое дело, также имеющее гриф строгой конфиденциальности.

На личных делах гриф ограничения доступа не ставится, т.к. весь комплекс личных дел является конфиденциальным. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. При помещении в личное дело нового документа данные о нем первоначально вносятся в опись дела, затем листы документа нумеруются и только после этого документ подшивается. На оборотной стороне обложки личного дела может указываться список руководителей, которым дело может быть выдано для ознакомления. Здесь же подклеивается конверт для карточки учета (контрольной карточки) выдачи дела.

Изменения и дополнения в персональные данные вносятся в дополнение к личному листку по учету кадров и (или) личную учетную карточку формы Т-2 на основании приказов по личному составу и документов, предоставляемых сотрудниками (свидетельства о браке, диплома и т.д.). Устное заявление сотрудника не является основанием для внесения указанных изменений (кроме второстепенных сведений - изменения номера домашнего телефона, места работы близких родственников и т.п.). Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работников отдела кадров. При переносе сведений из приказа по личному составу работник расписывается против перенесенного пункта.

В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью работника отдела кадров. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее подшитыми.

Приказом первого руководителя предприятия должен быть установлен порядок выдачи или ознакомления руководящего состава с личными делами сотрудников. Личные дела могут выдаваться на рабочие места только первого руководителя, его заместителя по кадрам или персоналу и начальника отдела (управления) кадров. Дела выдаются под роспись в контрольной карточке. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений, включения в дело других документов или подмены документов. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через их секретарей или референтов не допускается. Другие руководители предприятия могут знакомиться с личными делами подчиненных им сотрудников. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела. Сотрудник предприятия имеет право знакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке.

В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками сотрудников предприятия. Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и отделе кадров чистых банков книжек и бланков листов-вкладышей. Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках (купленных и, как правило, поддельных). Под особым контролем должны находиться операции по проставлению в трудовых книжках печатей и штампов. Целесообразно, чтобы эти операции производились только начальником отдела кадров, т.к. в противном случае может возникнуть опасность несанкционированного использования печатей и штампов.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (картотеками, журналами и книгами персонального учета сотрудников). Этот банк содержит основную, концентрированную массу ценных сведений о сотрудниках. Множество применяемых традиционных учетных форм осложняет обеспечение их конфиденциальности. Однако переход на автоматизированный тип этого банка создает другие сложности, связанные с необходимостью ведения комплексов страховых и резервных машиночитаемых и бумажных копий, включенных в банк учетных форм. Конфиденциальными при любом типе банка являются накопительные ведомости, записи в промежуточных рабочих формах, которые ведутся работником отдела кадров для последующего одноразового внесения в учетные формы. Доступ работников отдела к справочно-информационному банку данных должен быть ограничен и определяться их служебными обязанностями. Разовое ознакомление с учетной карточкой какого-либо сотрудника разрешает начальник отдела кадров.

Отчетная и справочная работа отдела формирует каналы объективного санкционированного распространения персональных данных и может служить основой формирования канала несанкционированного получения и незаконного использования ценных сведений. В связи с этим требуется повышенное внимание к обеспечению сохранности и конфиденциальности отчетных и справочных массивов информации. Первым руководителем предприятия должен быть регламентирован порядок получения нижестоящими руководителями необходимых им для работы справочных данных. Устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно - определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

Передаваемые из отдела кадров руководителям отчетные и справочные сведения обязательно документируются в виде сводок, списков, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация, например: дата рождения сотрудника, какой вуз закончил и т.п. На документах, выходящих за пределы отдела кадров, может ставиться гриф “Конфиденциально” или “Для служебного пользования”. В отделе кадров обязательно остаются копии всех отчетных и справочных документов. Целесообразно, чтобы после использования подлинники этих документов возвращались в отдел кадров для включения в дело вместо хранящейся там копии.

В структурных подразделениях предприятия могут быть следующие документы, содержащие персональные данные: журнал табельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет, - табельщика), штатное расписание (штатный формуляр) подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу, касающимися персонала подразделения (находится у табельщика). Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях и правильность их ведения.

В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Работникам не разрешается при любом по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе.

На рабочем столе работника должен всегда находиться только тот массив документов и учетных карточек, с которым в настоящий момент он работает. Другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки, на которых указывается вид производимых с ними действий, например: для подшивки в личные дела, для отправки и т.п., или фамилии граждан, к работе с которыми относятся данные документы. Каждая папка должна иметь опись находящихся в ней документов. Документы, с которыми закончена работа, немедленно подшиваются в соответствующее дело. Карточки в процессе работы с ними хранятся в промежуточной рабочей картотеке, а после окончания работы - помещаются в основные картотеки.

В конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы, которые запираются и опечатываются печатью данного работника. Ключи от шкафов сдаются начальнику отдела кадров под роспись в соответствующем журнале. На рабочем столе не должно оставаться ни одной бумажки. Следует также проверить урну для бумаг и убедиться в отсутствии там листов бумаги, которые могут представлять интерес для постороннего лица. Печати, штампы, бланки документов, ключи от рабочих шкафов работников хранятся только в сейфе начальника отела кадров. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются в специальной бумагорезальной машине. Уничтожение производится двумя работниками отдела.

Помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, т.к. посетители могут представлять определенную угрозу информационной безопасности отдела кадров и физической безопасности работников отдела.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

1. Общие понятия о защите персональных данных

1.1 Нормативная база о защите персональных данных

1.2 Органы, регулирующие деятельность в сфере обработки персональных данных

1.3 Защита персональных данных в кадровой службе

2. Ответственность за нарушение правил работы с персональными данными

2.1 Дисциплинарная ответственность

2.2 Административная ответственность

2.3 Уголовная ответственность

3. Разработка документа, регламентирующего работу с персональными данными

3.1 Разработка Положения по обеспечению защиты персональных данных работников в Администрации г. Братска

3.2 Разрешительная система доступа к документам, содержащим персональные данные

Заключение

Список использованных источников и литературы

Введение

Актуальность темы исследования определяется особой значимостью отдельной группы основных прав и свобод личности, спецификой которых является направленность на обеспечение таких важных аспектов частной жизни каждого человека, как тайна, приватная информация, различные сведения о частной жизни человека.

Согласно ст. 2 Конституции Российской Федерации 1993 г., человек, его права и свободы являются высшей ценностью, а их признание, соблюдение и защита - обязанность государства Конституция Российской Федерации. // СПС Консультант Плюс Версия Проф. . Признание приоритета прав и свобод человека и гражданина влечет и признание совершенно иной, новой роли государства по отношению к личности - именно государство существует для человека, основной целью органов государственной власти является защита основных прав и свобод человека. Вместе с тем, возложение на государство обязанности по защите прав и свобод человека и гражданина требует четкого законодательного урегулирования отношений между личностью и государством.

В свою очередь, государство, понимая важность и ценность информации о человеке, а, также заботясь о соблюдении прав своих граждан, требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области персональных данных (ПДн), кроме Конституции РФ, основывается на международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. №152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника - в средство мщения, в руках инсайдера - товар для продажи конкуренту и т.д. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

Объект о м исследования настоящей курсовой работы выступает - кадровая служба администрации города Братска, п редметом - организация работы с персональными данными работников и ее защита.

Цель ю исследования является комплексное теоретико-правовое изучение системы защиты персональных данных кадровой службы согласно Федеральному закону №152 «О персональных данных» и разработка регламента работы кадровой службы.

В связи с поставленной целью необходимо решить следующие задачи :

Изучить нормативную базу о защите персональных данных;

Рассмотреть органы, регулирующие деятельность в сфере обработки персональных данных;

Определить виды и меры ответственности за нарушение правил работы с персональными данными;

Разработать инструкции по организации работы по защите персональных данных муниципальных служащих администрации города Братска.

В процессе написания курсовой работы был использован ряд нормативно-правовых актов, законов и указов, в частности, Федеральный закон №152 «О персональных данных» и Федеральный закон №25 «О муниципальной службе в Российской Федерации», также литература авторов А.В. Спивак, Е.К. Волчинская, А.Б. Веселова, Э.А. Цадыкова, И.М. Хужокова и другие.

Структурно курсовая работа состоит из введения, трех глав, объединяющих восемь параграфов, заключения и библиографического списка.

1. Общие понятия о защите персональных данных

1.1 Нормативная база о защите персональных данных

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона "О персональных данных", Указ Президента РФ "О перечне сведений конфиденциального характера" и другие акты. Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Основные понятия, используемые в Законе «О персональных данных»

Персональные данные - В соответствии с формулировкой, представленной в Законе, персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение, профессия, образование, доходы, другая информация.

Оператор персональных данных - Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки персональных данных»

Обработка персональных данных - Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

Федеральный закон «О персональных данных» (ФЗ №152 «О персональных данных») - нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Согласно изменениям внесённым ФЗ 363 от 27.12.2009 Операторы персональных данных должны привести свои системы обработки персональных данных запущенные до 1 января 2010 года в соответствие с законом до 1 января 2011 года.

Целью закона является защита прав и свобод человека при обработке его персональных данных.

Принятие данного федерального закона явилось триггером в создании правовых условий для защиты прав субъектов персональных данных в РФ.

В соответствии с законом №152 «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т.ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных. Действие Закона не распространяется на отношения, возникающие при:

1. обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3. обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПДн должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд бюрократических действий:

2. Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (ФЗ 152 Статья 9 п. 4) Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 г. №149-ФЗ. // СПС Консультант Плюс Версия Проф. .

1.2 Органы, регулирующие деятельность в сфере обработки персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановило утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением. Постановление Правительства РФ от 17.11.2007 г №781.

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

Россвязькомнадзор (федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.

ФСТЭК России (федеральная служба по техническому и экспортному контролю) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.

ФСБ РФ (Федеральная служба безопасности РФ) - устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации) О персональных данных: Федеральный закон от 27.07.2006 г. №152-ФЗ. // СПС Консультант Плюс Версия Проф. .

В результате увидели свет следующие документы:

Методические материалы ФСТЭК

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 года.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 года.

Приказ ФСТЭК России о методах и способах защиты информации в системах персональных данных

Приказ ФСТЭК от 5 февраля 2010 г. №58 Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных. Документ подписал директор ФСТЭК С. Григоров 5 февраля 2010 года. В отличие от четырех методических документов ФСТЭК, данный документ является нормативно-правовым актом. Документ зарегистрирован в Минюсте РФ 19 февраля 2010 г., опубликован 5 марта 2010 г. в "Российской газете" (№46), начал действовать с 16 марта 2010 г.

Методические материалы ФСБ России

В соответствии со статьей 8 Федерального закона от 3 апреля 1995 г. №40-ФЗ «О федеральной службе безопасности», одним из направлений деятельности органов ФСБ является обеспечение информационной безопасности.

Обеспечение информационной безопасности - деятельность органов ФСБ, осуществляемая ими в пределах своих полномочий:

При формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

При обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в России и её учреждениях, находящихся за пределами России.

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 года.

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 года.

В соответствии с положениями федерального закона от 27.12.2009 г. №363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных», вступившего в силу 29.12.2009 года, в законе №152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПД шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

1.3 Защита персональных данных в кадровой службе

В соответствии с требованиями главы 14 Трудового кодекса процесс защиты персональных данных в кадровой службе должен быть строго регламентирован. Именно регламентация организационных форм и технологии документирования, обработка персональных данных и неукоснительное соблюдение всеми руководителями и работниками этих требований лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.

Каждый сотрудник фирмы должен быть индивидуально письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Наиболее правильно подобную информацию включать в трудовой договор с работником, т.к. одноразовые получения разрешений будут отнимать много времени. Работник имеет право не разрешить использовать свои персональные данные.

Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы первым руководителем фирмы должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях.

Одновременно должна быть утверждена схема доступа работников службы и руководящего состава фирмы, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных Служба кадров. // Е. Степанов доц. Гос. ун-та управления. ? 2003. ? №1. .

Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, т.ч. в противном случае может возникнуть опасность несанкционированного использования печатей и штампов. Одновременно руководитель службы контролирует правильность оформления документов.

Чистые бланки справок подлежат обязательному учету. Они хранятся у руководителя кадровой службы и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед руководителем службы об израсходованных бланках справок и сдает ему оставшиеся чистыми и испорченные бланки. Проставлять печати и штампы, а иногда и росписи на чистых бланках документов категорически запрещается.

При автоматизированной обработке кадровой информации не рекомендуется данную систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть фирмы.

В кадровой службе локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа работников службы к обрабатываемой и хранимой информации. В локальную сеть может быть включена рабочая станция (автоматизированное рабочее место) первого руководителя фирмы.

Дела, папки с документами, картотеки, машиночитаемые документы, учетные журналы и книги учета хранятся в кадровой службе в рабочее и нерабочее время в металлических постоянно запертых шкафах. У каждого работника должен быть свой шкаф для хранения закрепленных за ним массивов документов. Трудовые книжки хранятся в сейфе руководителя кадровой службы, там же хранятся печати, штампы, бланки документов, ключи от рабочих шкафов работников Служба кадров // Е. Степанов доц. Гос. ун-та управления. ? 2003. ? №1. .

Кадровая служба фирмы должна иметь минимально три смежных помещения:комнату для работников службы, кабинет руководителя службы и помещение, в котором размещаются шкафы и сейфы для документов, дел и картотек. Вход в кадровую службу может быть только один.Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений службы.

Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Помещения, шкафы с документацией кадровой службы и компьютеры обеспечиваются охранной сигнализацией. Входная дверь кадровой службы должна быть двойной металлической, окна защищаются решетками. Если кадровая служба использует в работе компьютеры, то помещения службы должны быть оборудованы средствами защиты от технической разведки.

По окончании рабочего дня все двери (в том числе внутренние) запираются на надежные замки и опечатываются личной печатью руководителя кадровой службы.Электропитание помещений кадровой службы отключается на центральном щите в помещении охраны фирмы. Ключи от дверей в опечатанном руководителем службы пенале сдаются работнику охраны под роспись в специальном журнале.Оттиск печати обычно делается на пластилине, в специальной выемке, чтобы печать невозможно было снять острым предметом и затем восстановить.

Одновременно включается и проверяется надежность средств охранной сигнализации.

Сдача под охрану и вскрытие помещений кадровой службы разрешаются только ее руководителю, а в исключительных случаях - заместителю первого руководителя, отвечающему за работу с персоналом. Перед вскрытием проверяется сохранность и номера печатей, целостность замков и контрольного шнурка (нити).

При обнаружении каких-либо попыток проникновения в помещение оно не вскрывается. Составляется акт о выявленной попытке, одновременно об этом факте докладывается лично первому руководителю фирмы и руководителю службы безопасности. Дальнейшие действия санкционируются первым руководителем.

Вскрытие рабочих шкафов в отсутствии работника, отвечающего за хранящуюся там документацию, допускается руководителем кадровой службы в присутствии двух работников этой службы. О вскрытии составляется акт с обоснованием причины вскрытия. Акт подписывается указанными лицами. После выполнения необходимых действий шкаф запирается и опечатывается печатью руководителя кадровой службы Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М.: Велби, Проспект, 2010. ? С. 126. .

При явке на рабочее место сотрудника, отвечающего за хранящуюся в шкафу документацию, им производится проверка наличия документов, дел и других материалов. Уборка помещения службы осуществляется под наблюдением руководителя кадровой службы.

При пожарах, авариях водопроводной и тепловой сети документация кадровой службы должна быть эвакуирована в безопасное место и обеспечена ее охрана. В условиях возникновения сложных экстремальных ситуаций (массовых стихийных бедствий, военных действий, террористических актов и других подобных событий) и отсутствия возможности эвакуировать чистые бланки трудовых книжек и вкладышей они уничтожаются по акту путем сожжения. В акте указывается только количество книжек и вкладышей, по возможности - их серии и номера.

В этих же условиях трудовые книжки работников могут быть выданы им под роспись в книге учета движения трудовых книжек и вкладышей к ним.

Вся остальная кадровая документация должна быть эвакуирована в первую очередь, а при отсутствии такой возможности - уничтожена (кроме дел с подлинниками приказов по личному составу и книги учета движения трудовых книжек и вкладышей к ним). Для эвакуации документов в кадровой службе постоянно должна находиться необходимая надежная тара (непромокаемые мешки, контейнеры, чемоданы). За кадровой службой заранее должна быть закреплена автомашина Корнеев И.К., Степанов Е.А. Защита информации в офисе. - М.: Велби, Проспект, 2010. ? С. 127. .

Организационные и технологические аспекты защиты персональных данных в кадровой службе могут найти отражение в двух регламентирующих документах фирмы.

Прежде всего, должно быть разработано положение о персональных данных работников фирмы, в котором целесообразно четко определить конкретные обязанности руководителей и работников в части использования этих данных в служебных целях.Функциональные обязанности этих лиц следует связать с составом передаваемых им персональных данных. Пользование другими данными им не разрешается. Положение должно содержать схему распределения доступа к персональным данным, состав должностных лиц, дающих разрешение на ознакомление с ними и несущих за это ответственность.

Положением должна быть определена форма обязательства указанных лиц за сохранность персональных данных и их конфиденциальность. Одновременно регламентируется порядок ознакомления работников фирмы со своими персональными данными, документами и учетными формами, в которых эти данные фиксируются, порядок взаимоотношений кадровой службы и работника по поводу сбора, документирования, использования, актуализации, уничтожения и хранения его персональных данных.

Во-вторых, должна быть составлена инструкция, отражающая этапы, процедуры и методы традиционной или автоматизированной технологии обработки и хранения персональных данных, методы и средства документирования данных и формирования баз данных.

В частности, в инструкции следует закрепить технологическую цепочку составления и оформления приказов и иных кадровых документов, технологические процедуры и операции их хранения, регламентирован порядок формирования, ведения и хранения личных дел работников, ведения и хранения трудовых книжек работников.

Следует тщательно определить условия включения документов в личные дела, правила ведения описи документов личного дела, изъятия документов из личного дела, выдачи документов на рабочие места руководителей, проверки сохранности личных дел и документов личного дела.

Особое внимание в инструкции следует обратить на организацию и документирование процедур тестирования и анкетирования кандидатов на должность и работников, проведения собеседований и аттестации, порядка ознакомления этих лиц с материалами психологического отбора.

В инструкции должна быть определена технология формирования и ведения традиционных или автоматизированных справочно-информационных систем (картотек, журналов, баз данных), обеспечивающих поисковые, учетные и отчетные функции при работе сотрудников кадровой службы с персональными данными работников. Установлено, в какие документы и учетные формы следует ввести необходимые зоны и графы для отражения факта ознакомления работников со своими персональными данными Хужокова И.М. Конституционное право человека и гражданина на неприкосновенность частной жизни. / Под ред. Е.В. Колесникова. - М.: Юрлитинформ, 2008. ? С 154. .

Говоря о технологии защиты информации в кадровой службе, необходимо учитывать, что помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей.

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении кадровой службы не могут находиться посторонние лица, в том числе работники фирмы.

Целесообразно, чтобы приемные часы были разными для работников фирмы и лиц, не входящих в эту категорию. Подобное разграничение необходимо ввиду того, что в числе последней группы лиц может быть злоумышленник, который будет прослушивать переговоры работников фирмы, знакомиться с работниками, их привычками, чертами характера, что в последующем может стать основой для формирования канала несанкционированного доступа к ценной информации.

Прием посетителей должен быть организован таким образом, чтобы в помещении службы не было лиц, ожидающих приема. Не должны возникать так называемые «живые очереди». Лица, ожидающие приема, всегда подсознательно или умышленно прослушивают переговоры работника кадровой службы и посетителя. Злоумышленник может эти переговоры записывать с помощью диктофона или миниатюрной видеокамеры.

Ответы на вопросы даются только лично тому лицу, которого они касаются.

При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Справка выдается на основании учетной карточки 1-2, а не пропуска, т.к. работник при увольнении мог не сдать пропуск или удостоверение. Заполненный бланк справки подписывается руководителем кадровой службы. Передает справку на подпись работник службы, а не посетитель. Одновременно руководитель службы ставит на справке печать. За получение справки работник фирмы расписывается в журнале учета выдачи справок.

Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения первого руководителя фирмы и только в письменной форме и том объеме, который позволяет не разглашать излишний объем персональных сведений. По возможности персональные данные обезличиваются.

В помещении кадровой службы в часы приема посторонних лиц может находиться работник службы безопасности организации, фирмы.Целесообразно также наличие сигнализации, оповещающей работников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника кадровой службы не должно быть тяжелых предметов: подставок под календарь, пепельниц и т. п.

В целях удобного доступа посетителей в кадровую службу помещения службы должны располагаться на первом этаже, поблизости от входа в здание. В часы приема лиц, не являющихся работниками фирмы, вход в отдел должен быть свободным для всех желающих.

Проход посторонних лиц в помещение отдела контролируется сотрудником службы безопасности: посетитель идентифицируется по паспорту или служебному удостоверению, при необходимости посетителя провожают. Бесконтрольное нахождение посторонних лиц в здании фирмы не допускается. Проход посторонних лиц на другие этажи здания и помещения может быть блокирован охраной фирмы.

Следовательно, порядок функционирования кадровой службы должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. Служба кадров / Степанов Е. доц. Гос. ун-та управления. ? №1.? 2003.

2. Ответственность за нарушение правил работы с персональными данными

2.1 Дисциплинарная ответственность

Статья 90 Трудового Кодекса РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность. Рассмотрим подробнее каждую из них.

В отношении сотрудника кадровой службы работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 ТК РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (п.п. "в" п. 6 ст. 81).

Дисциплинарная ответственность работников является самостоятельным видом юридической ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок.

Как и любое другое правонарушение, дисциплинарный проступок обладает совокупностью признаков: субъект, субъективная сторона, объект, объективная сторона.

Субъектом дисциплинарного проступка может быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину Веселова А.Б. Защита персональных данных работников. // Трудовые споры. ? 2006. ? №10. ? С. 33. .

Субъективной стороной дисциплинарного проступка выступает вина со стороны работника. Она может быть в форме умысла или по неосторожности.

Объект дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

В соответствии с заключенным трудовым договором работодатель вправе требовать от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности работника, совершившего дисциплинарный проступок. Однако следует знать, что настоящим Кодексом, другими федеральными законами, уставами и положением о дисциплине могут быть определены и иные правила при совершении дисциплинарного проступка.

Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Следует подчеркнуть, что увольнение работника может быть осуществлено только за разглашение персональных данных. В иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.

К дисциплинарной ответственности могут быть привлечены лишь те работники кадровой службы, которые приняли на себя обязательство соблюдать правила работы с персональными данными. То есть условие о неразглашении сведений, составляющих персональные данные, было включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты этой конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая подготовительная работа не была проведена, то специалист, кому доверена работа с персональными данными, нести ответственности не будет.

Факт нарушения правил работы с персональными данными может быть установлен представителем работодателя (например, начальником отдела кадров), самим работником или специалистом Рострудинспекции.

Работники и их представители имеют право осуществлять контроль над выполнением требований по защите конфиденциальности этой категории информации, запрещать или приостанавливать обработку персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и защите персональных данных работник вправе обжаловать в судебном порядке. Кадровое дело.? №4. ? 2003.

Пример

Генеральный директор ООО «Транзит-М» устно приказал специалисту по кадрам Марине И. подготовить отчет с указанием фамилий, имен, отчеств работников организации, их уровне образования и должностном окладе. Когда Марина выполнила задание, руководитель также устно попросил отправить этот отчет по электронной почте директору компании, являющейся контрагентом ООО «Транзит-М» по договору поставки. Кадровик направила письмо со своего электронного почтового ящика. Через неделю генеральный директор был переведен в другую организацию. А на его место был назначен другой руководитель. Новый начальник, узнав о разглашении персональных данных работников Общества, вызвал к себе Марину. Он сообщил ей о том, что ей нельзя было нарушать законы и Положение о работе с персональными данными ООО «Транзит-М». И что у него есть все основания, чтобы уволить ее за разглашение персональной информации. Но руководитель, учитывая все обстоятельства, так не поступил. Однако и Марина больше в данной организации не работала. Трудовой договор с ней был прекращен по соглашению сторон.

Итак, в настоящее время увольнение за разглашение персональных данных другого работника не является распространенным основанием для прекращения трудового договора. Судебная практика по таким делам в полной мере еще не сложилась и не дает ответов на все возникающие вопросы. Однако ясно одно в ближайшем будущем в связи с усилением государственного контроля за защитой личных сведений сотрудников данные положения Трудового кодекса потребуют к себе пристального внимания кадровиков.

2.2 Административная ответственность

Нарушение правил работы с персональными данными может повлечь административную ответственность работодателя или его представителей. Кодекс РФ об административных правонарушениях содержит на этот счет две статьи.

Статья 13.11 предусматривает ответственность в виде предупреждения или наложения штрафа на работодателя в размере от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового кодекса РФ и локальными нормативными актами предприятия.

Объективная сторона данного правонарушения состоит в действии или бездействии, нарушающем установленный законом порядок сбора, хранения, использования или распространения информации о гражданах (персональных данных). Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной. Комментарий к Кодексу Российской Федерации об административных правонарушениях. / Под ред. Ю.М. Козлова. - М.: Юристъ, 2002. ? С. 122.

Ввиду того, что персональные данные - один из видов охраняемой законом тайны, защита ее конфиденциальности предусмотрена также статьей 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф для него будет составлять от 40 до 50 МРОТ.

Объектом правонарушения, предусмотренного данной статьей, является порядок получения информации с ограниченным доступом.

Объективная сторона данного правонарушения состоит в действии, представляющем собой разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном отраслевым законодательством Российской Федерации (гражданским, административным и т.д.).

Вина в совершении данного правонарушения может быть как умышленной, так и неосторожной.

К административной ответственности работодателя или его представителей может привлечь Рострудинспекция или суд Комментарий к Кодексу Российской Федерации об административных правонарушениях. / Под ред. Ю.М. Козлова. - М.: Юристъ, 2002. ? С. 123. .

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст.ст. 86-88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. №КА-А40/10787-06).

2.3 Уголовная ответственность

защита персональный данные кадровый

Самая строгая, конечно, уголовная. Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

Личную или семейную тайну составляют сведения, не подлежащие, по мнению лица, которого они касаются, оглашению. Личную и семейную тайну не могут составлять сведения, которые были ранее опубликованы либо оглашены иным способом.

Нарушение неприкосновенности частной жизни (ст. 137 УК) может выражаться в:

а) незаконном собирании сведений о частной жизни;

б) незаконном их распространении;

в) незаконном их распространении в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Закон не связывает ответственность за незаконное распространение сведений о частной жизни лица с конкретным способом распространения. Под распространением имеется в виду любая незаконная передача указанных сведений третьим лицам. Незаконным распространением является разглашение личной или семейной тайны лицом, обязанным ее хранить в силу своей профессии. В некоторых случаях разглашение сведений о частной жизни по УК образует одновременно состав другого преступления например, разглашение тайны усыновления (ст. 155), В таких случаях содеянное квалифицируется по совокупности со ст. 137 УК.

Обязательным элементом объективной стороны преступления, предусмотренного ст. 137 УК, является причинение вреда правам и законным интересам граждан. Характер вреда закон не ограничивает. Он может быть:

а) материальным (имущественным), например потеря хорошо оплачиваемой работы, срыв выгодной сделки, иные убытки в предпринимательской деятельности;

б) физическим (телесным), например заболевание от пережитого;

в) моральным, например распад семьи, подрыв репутации.

Установление наличия вреда правам и законным интересам потерпевшего производится в каждом конкретном случае с учетом индивидуальных особенностей личности и ситуации.

Нарушение неприкосновенности частной жизни считается оконченным преступлением только с момента причинения соответствующего вреда (материальный состав).

Субъективная сторона данного преступления характеризуется прямым умыслом. Обязательным элементом субъективной стороны является мотив: корыстная или иная личная заинтересованность. Корыстная заинтересованность выражается в стремлении приобрести материальную (имущественную) выгоду за счет потерпевшего или в виде вознаграждения от третьей стороны. Иная личная заинтересованность может заключаться в стремлении дискредитировать конкурента, сделать карьеру, отомстить за что-либо, продемонстрировать свое превосходство либо привлечь внимание к себе.

Ответственность по ч. 1 ст. 137 УК несет любое физическое вменяемое лицо, достигшее 16 лет (общий субъект), а по ч. 2 ст. 137 УК - должностное лицо либо служащий государственного или муниципального учреждения, использующий для совершения преступления свое служебное положение (специальный субъект). Постатейный Комментарий к Уголовному кодексу РФ 1996 г. / Под ред. Наумова А.В.

Как показывает практика, на самом деле, привлечение виновного в разглашении персональных данных к уголовной ответственности практически невозможно. Согласно статье 137 Уголовного кодекса РФ уголовному преследованию подлежат незаконный сбор, хранение и распространение, разглашение сведений, составляющих личную и семейную тайну, по мотивам личного характера. Соответственно, для того чтобы привлечь нарушителя к ответственности за разглашение персональных данных по этой статье, необходимо доказать, что незаконно собираемые (распространяемые) персональные данные являлись личной или семейной тайной работника (однако ни один нормативный акт определения понятию «личная и семейная тайна» не дает). Кроме того, необходимо обосновать тот факт, что сведения собирались или разглашались по мотивам личного характера (мести, корысти и т.д.).

Между тем, разглашение персональных данных чаще всего объясняется «простотой душевной» или защитой ложно понимаемых узковедомственных мотивов государственных или общественных интересов, мотивами ложно понятой необходимости.

Мачковский Л.Г. пишет: «Можно утверждать, что по Уголовному кодексу РФ не должно быть привлечено к ответственности лицо, считающее, что интересы общества требуют нарушения неприкосновенности частной жизни потерпевшего ради сбора сведений о его противоправном поведении. Виновному достаточно заявить, что им движет не месть, не корысть, не ревность и т.п., а стремление добиться привлечения потерпевшего к правовой ответственности. Правильность такого подхода сомнительна. Охрана неприкосновенности частной жизни уголовно-правовыми средствами не должна сужаться за счет условий, относящихся к тем или иным побуждениям виновного. Конституционное право человека на неприкосновенность частной жизни должно защищаться уголовным законом от общественно опасных действий, независимо от тех мотивов, которыми руководствуется виновный, и тех целей, которые он перед собой ставит». Мачковский Л.Г. Проблемы уголовно-правовой охраны неприкосновенности частной жизни. // Современное право. ? №2. ? 2003. - С. 37.

Так, директор одного из московских предприятий распорядился вывесить на входных воротах организации копию трудовой книжки женщины, уволенной из данной организации за хищение (с соответствующей записью). Между тем, данные действия ненаказуемы по уголовному законодательству, поскольку директор руководствовался вовсе не мотивами личного характера - его действия были продиктованы «благородным» желанием «воспитать» своих подчиненных и не допустить подобного проступка впредь.

Все вышеизложенное свидетельствует, что законодательство о защите персональных данных, безусловно, нуждается в совершенствовании. Полезным в этом плане может быть заимствование опыта других стран. Например, необходимо ввести запрет на знакомство работодателей с личными письмами, телефонными переговорами, средствами визуального воспроизведения, принадлежащими сотруднику (например, сообщениями пейджера, записями, сделанными работником на диктофон). Такое положение существует в законодательстве Франции. Кроме того, российский законодатель мог бы заимствовать соответствующие положения из французского и итальянского законодательства, согласно которым нанимателям запрещается собирать о нанимаемых работниках данные, которые не имеют отношения к их профессиональным качествам и квалификации и к требованиям, которые могут быть предъявлены к ним на работе. Интересен в плане включения в отечественное законодательство опыт Германии, Швейцарии и Норвегии.

В Германии в случае возникновения обоснованных сомнений в точности персональных данных о работнике работодатель обязан указать источник получения информации. Также работнику предоставлено право требовать уничтожения нелегально собранной работодателем информации, разработаны процедуры для включения в досье замечаний работников и реализации требований об изъятии некоторых документов.

В Швейцарии трудящиеся могут потребовать, чтобы информация об исправлении спорных персональных данных была опубликована в печати.

В Норвежском Законе «Об охране труда и производственной среды» от 04.02.1997 предприниматель в случае, если от соискателя требуются сведения о его политических или религиозных взглядах, членстве в профсоюзе, обязан отметить это в сообщении о вакансии. Это правило не применяется, когда сбор информации необходим с учетом характера должности.

Таким образом, безусловно, нормативно-правовая база, регулирующая обращение с персональными данными работника, нуждается в совершенствовании, «корректировке» многих имеющихся положений и введении новых. Возможно, поднятые в данной статье проблемы могли бы быть решены в рамках отдельного закона, необходимость принятия которого не раз обосновывалась на страницах профессиональных изданий.

3. Разработка документа, регламентирующего работу с персональными данными

3.1 Разработка Положения по обеспечению защиты персональных данных работников Администрации г. Братска

Для работодателя очень важно проверить сведения, предоставляемые работником при трудоустройстве. Нужно знать, имеет ли ваш сотрудник право на дополнительные льготы и компенсации в связи с особенностями семейного положения или состоянием здоровья. И очень важно иметь информацию о том, на какие сведения персонального характера можно ссылаться, принимая решение об увольнении работника. Оставаться в рамках законодательства в этих ситуациях поможет положение об организации работы с персональными данными.

Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением №1 Госкомстата России "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты" от 05.01.2004, которое предписывает каждому работодателю, независимо от организационно-правовой формы заполнять на каждого работника личную карточку формы №Т-2. В карточку вносятся следующие сведениям:

Фамилия, имя, отчество;

Дата рождения;

Гражданство;

Номер страхового свидетельства;

Знание иностранных языков;

Данные об образовании (номер, серия дипломов, год окончания);

Данные о приобретенных специальностях;

Семейное положение;

Данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);

Фактическое место проживания;

Контактная информация;

Данные о военной обязанности;

Данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).

Таким образом, работодатель собирает полный пакет информации о работнике, а раз работодатель будет обладать определенной информацией конфиденциального характера, то он обязан осуществлять, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. Гл 14. Работники должны быть ознакомлены под подпись с документом работодателя, устанавливающим порядок обработки персональных данных, а также права и обязанности работников в этой области Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. п. 8 ст. 86 ТК РФ). .

Передавать персональные данные работника в пределах одной организации можно только в соответствии, с которым работник должен быть ознакомлен под подпись. Трудовой Кодекс РФ от 30 декабря 2001 г. №197-ФЗ / СПС Консультант Плюс Версия Проф. ст. 88 ТК РФ). Поэтому локальный акт, определяющий порядок сбора, обработки, хранения и использования персональных данных работников, в организации должен быть обязательно.

В администрации города Братска такой документ имеет место быть. «Положение об организации работы с персональными данными муниципальных служащих администрации города Братска» направлено на кадровую работу, то есть регламентирует правила работы с персональными данными муниципальных служащих в администрации города. Но, положение не дает представление о том, как организовать защиту персональных данных при их обработке. То есть получается, что кадровая служба и другие уполномоченные подразделения при работе с персональными данными не всегда могут обратиться к «Положению об организации работы с персональными данными муниципальных служащих администрации города Братска» для ознакомления правил по обеспечению защиты персональных данных служащих.

Стоит также отметить, что документы соответствующего типа, должны разрабатываться в соответствии с рядом соответствующих законов. Но в связи с введением 152 закона РФ «О персональных данных», локальный акт администрации был разработан, в основном в соответствии с этим законом, не уделив должного внимания Главе 14 Трудового Кодекса РФ. Как нам известно, глава 14 трудового кодекса РФ полностью посвящена защите персональных данных, она даже носит название «Защита персональных данных работника».

Подобные документы

Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.

курсовая работа , добавлен 21.09.2014


Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.

курсовая работа , добавлен 05.04.2016


Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

курсовая работа , добавлен 19.03.2015


Понятие, сущность и правовая природа персональных данных. Права и обязанности обладателя информации. Базовые нормативные документы по защите конфиденциальной информации. Федеральные нормативные акты по обеспечению защиты информации и персональных данных.

дипломная работа , добавлен 27.08.2016


Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.

курсовая работа , добавлен 25.05.2014


Понятие, обработка, хранение и использование персональных данных работника. Изучение действующего законодательства по данному вопросу. Виды ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.

контрольная работа , добавлен 10.04.2016


Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.

реферат , добавлен 05.04.2012


Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.

курсовая работа , добавлен 19.03.2015


Особенности персональных данных. Общедоступные персональные данные. Источники правового регулирования. Развитие информационных технологий. Защита персональных данных при их накоплении, обработке и передаче с использованием средств информатизации.

реферат , добавлен 28.01.2011


Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.

 

Возможно, будет полезно почитать:

• Аббатство - это католический монастырь ;
• Самые распространенные расклады ;
• Быт и обычаи Обычаи и нравы 19 века ;
• К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
• Основные характеристики марса ;
• Должностная инструкция транспортного экспедитора ;
• Татаро-монгольское иго или история о том, как ложь стала правдой ;
• Журавль толкование сонника ;